Log4J2漏洞修复方法验证及最终方案

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量2.9w 收藏 23
点赞数 4
分类专栏: Java 文章标签: java log4j 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dbzzcz/article/details/121925059
版权

验证代码准备:

在项目登录接口中增加类似如下代码:

@PostMapping("login")

public R<?> login(@RequestBody LoginBody form) {

//form.getUsername()="${java:version}"

logger.info("登录:{}",form.getUsername());

// 用户登录

LoginUser userInfo = sysLoginService.login(form.getUsername(), form.getPassword());

// 获取登录token

return R.ok(tokenService.createToken(userInfo));

}

public class App {

private static Logger logger = LogManager.getLogger(App.class);

public static void main(String[] args) {

logger.info("user {}", "${java:version}");

System.out.println("Hello World!");

}

}

存在漏洞时输出结果:org.example.App - user Java version 1.8.0_181

无漏洞时的输出结果:org.example.App - user ${java:version}

1、紧急缓解措施

方式一:修改jvm参数 -Dlog4j2.formatMsgNoLookups=true

输出结果:org.example.App - user ${java:version}

结论:有效

方式二: 修改配置log4j2.formatMsgNoLookups=True

注意:在应用程序入口logger初始化之前,写入代码System.setProperty("log4j2.formatMsgNoLookups", "true");

输出结果:org.example.App - user ${java:version}

结论:有效

方式三:将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

输出结果:org.example.App - user Java version 1.8.0_181

结论:Win10 无效【本人在Win10上测试的,而且没有尝试重新启动电脑】

2、下载最新的log4J,如2.15.0版本,直接将本地仓库中2.0至2.14.1版本里的jar,用2.15.0更名后替换

以Idea Maven项目Log4J依赖包为例:

第一步:在Project视图中展开External Libraries找到Log4J相关jar依赖,并进行如下操作:对应jar上右键->copy->Absolute Path 复制到文件管理器中打开

第二步:将2.15.0中对应jar复制一份更名成2.14.1中jar的名称并覆盖2.14.1中的jar

输出结果:org.example.App - user ${java:version}

结论:有效

3、从项目里强制修改直接依赖或间接依赖的Log4J版本

以Idea Maven项目spring-boot-starter-logging依赖包为例:

第一步:打开pom.xml

ctrl+鼠标左键 单击artifactId内容spring-boot-starter-logging进入如下界面:

原始配置:

第二步:将2.*版本更改成2.15.0

强制修改后:

第三步:Reimport

输出结果:org.example.App - user ${java:version}

结论:有效

4、总结

根据以上测试结果,对于正式环境有以下解决方案:

方案一:根据1中的方式一在bat中加入如下设置:

set _JAVA_OPTIONS=-Dlog4j2.formatMsgNoLookups=true

示例:

方案二:对于jar包与主程序分离的项目,可以直接将正式环境2.15.0的jar更名后直接覆盖2.*版本。

方案三:对于jar包与主程序统一打包的项目,可以采用2、3和1中的方式二在开发环境做对应更改后重新打包部署。

DbzZcz
关注
  • 4
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
log4j2漏洞源码分析
weixin_45682070的博客
12-14 3579
前言: 上篇分析了jndi+ldap的利用,这两天新爆出来的漏洞log4j2中,结合恶意payload可执行远程恶意代码 影响范围:Apache Log4j 2.x < 2.15.0-rc2,而且利用难度低,利用要求少 紧急缓解措施(最好升级最新版本): (1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true (2) 修改配置log4j2.formatMsgNoLookups=True (3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISAB
速度!快速临时解决Log4j惊天漏洞
Galaxy_0的博客
02-15 767
速度!快速临时解决Log4j惊天漏洞
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 962
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
log4j的bug演示与修复
JustMyLive的博客
12-26 3576
文章目录1、描述2、Log4j版本详细信息3、Log4j官网发布的缓解措施3.1、Log4j 1.x缓解措施3.2、Log4j 2.x缓解措施3.3、不可信的缓解措施4、Spring官网发布的log4j2漏洞缓解措施4.1、Gradle4.2、Maven5、复现Log4j的bug6、缓解Log4j的bug7、数据来源 1、描述 在 Apache Log4j2 版本(最高包括 2.14.1)(不包括安全发布版 2.3.1、2.12.2 和 2.12.3)中,在配置、日志消息和参数中使用的 JNDI 功能部件
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
Tom弹架构
12-12 5226
背景 近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2
Apache log4j漏洞常规修复方法
aischang
01-10 8278
一、升级官方版本(推荐) 目前Apache官方已发布最新版升级包,JAVA7版本升级至log4j 2.12.4版本,JAVA8及以上版本升级至log4j 2.17.0版本,升级包中移除了对lookup功能的支持,默认禁用了JNDI方法,该方法目前已经通过我行测试确认可修复。 二、移除log4j包中JndiLookup类(可能存在未知影响) 移除log4j-core包中JndiLookup类文件,并重启服务,具体方法如下: Linux系统: zip -q -d log4j-core-*.jar ..
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
log4j-2.15.0-rc2.zip
12-10
总的来说,Log4j 2.15.0-rc2的发布是应对Log4Shell漏洞的重要步骤,它提供了一种更全面的解决方案,帮助开发者和组织保护他们的系统免受潜在的恶意攻击。及时地更新和应用这些安全补丁,是保障网络安全的关键,也是...
windows热补丁Log4j2漏洞缓解工具漏洞java补丁.zip
12-16
针对这一问题,Windows平台上出现了一款名为“Log4j2漏洞缓解工具”的解决方案,它可以帮助用户快速检测并修复这一安全隐患。 Log4j2是一款广泛使用的Java日志框架,由于其内置的JNDI(Java Naming and Directory ...
p28663146_122130
12-27
4. **更新Log4j**:如果问题确实与Log4j漏洞有关,需要检查Oracle产品中的Log4j版本,并应用任何必要的安全更新。 5. **排查错误日志**:通过查看系统和OPatch的日志文件,找出可能导致`createreportstoolsinstance`...
42个修复程序
02-19
修复可能涉及到添加合适的日志级别,使用日志框架如Log4j,以及确保敏感信息的安全。 "42-fix-me-main"这个文件名可能是指主项目的源代码目录,其中包含了42个修复程序的具体实现。每个修复可能都有对应的示例代码...
安全漏洞(1)-Log4j2远程代码执行漏洞log4j2漏洞验证
热门推荐
迷途的小兵
12-13 1万+
Log4j2远程代码执行漏洞log4j2漏洞验证
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3281
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
Log4j2 BUG 缓解措施无效
景旭的博客
12-13 1032
log4j bug,log4j2 bug, log4j2 bug修复log4j2 缓解措施无效
Log4j2安全漏洞
hezuchao的专栏
12-10 870
Log4j2版本2以上安全漏洞,受影响版本2.0 ≤ Apache Log4j <= 2.14.1
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4424
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
Log4j2 漏洞复现及解决方案
已识乾坤大,犹怜草木青!
12-15 2724
背景 最近爆出的 apache log4j2 存在重大安全漏洞问题,当 log4j2 版本在 2.15.0 以前(2.0<=V<=2.14.1),相关应用程序或中间件如 ES、Redis 等均会受此漏洞影响。不过目前 apache 官方已经修复了此漏洞漏洞复现程序 Log4j2 lookup 漏洞复现程序 修复指南 推荐修复指南1:升级 log4j2 接口及实现版本至最新版(2.15.0) <dependencies> <!-- l...
漏洞分析】关于Log4j2远程代码执行漏洞的解决方案
olga5abl的博客
12-15 5598
经安博通安全研究团队分析,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受到影响,漏洞等级为高危。
log4j2漏洞修复建议
05-25
log4j2漏洞是一个非常严重的安全问题,已经被广泛关注和报道。如果你使用log4j2作为应用程序的日志框架,以下是一些修复建议: 1. 更新log4j2版本:Apache已经发布了log4j2的安全补丁,建议升级至最新版本。如果升级不可行,也可以考虑使用其他日志框架。 2. 配置log4j2:通过配置log4j2,可以减轻漏洞的影响。例如,可以禁用JNDI查找、限制网络访问等。 3. 防火墙:如果应用程序不需要外部网络访问,可以通过防火墙限制对应用程序的访问。 4. 应用程序代码:在应用程序代码中,可以避免使用动态类加载,尽可能使用静态类加载。 5. 审查应用程序:检查应用程序中是否存在使用log4j2漏洞风险,特别是那些允许用户输入的地方。 总之,修复log4j2漏洞需要多方面的措施,建议及时采取措施保护你的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DbzZcz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值