Log4j2漏洞修复

最新推荐文章于 2024-06-18 16:45:09 发布
最新推荐文章于 2024-06-18 16:45:09 发布
阅读量1.2w 收藏 15
点赞数
分类专栏: 服务端开发 文章标签: 安全 java apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/derstsea/article/details/121918902
版权

一、漏洞说明

Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。

二、临时修复方案

方式1:

  1. 修改启动脚本或命令,添加“-Dlog4j2.formatMsgNoLookups=true ” 启动参数和参数值(不包括引号)。

  2. 使用修改后的脚本或命令重启服务。

    例如:
    原本启动脚本或命令: java -jar file.jar
    修 改 后 启 动 脚 本 或 命 令 : java -Dlog4j2.formatMsgNoLookups=true -jar file.jar

现已验证 jdk1.7 及以上版本(绝大多数 jdk 版本)均可通过该种
方式规避漏洞,若 jdk 环境低于 1.7 版本,请升级至 1.7 及以上版本。为 避免低版本 jdk 平台存在漏洞利用的情况,请及时升级,升级后需要及时 观察并监测应用业务是否运行正常,若存在异常情况需要及时回退至原来 的 jdk 版本,避免影响生产环境业务。

方式2:

在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;

也可以通命令行参数指定:

java -Dlog4j.configurationFile=../config/log4j2.component.properties
方式3:

将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

注:以上3种方式也可以同时实施,以确保服务器环境安全可靠。

三、研发源码级修复方案

1. 通过版本覆盖,将项目依赖的Log4j2升级到最新版本

此种方式 适用于 项目对 Log4j2 有强依赖的场景,即 缺少依赖程序无法启动或者无法正常工作 的项目。

  • 在项目主 pom.xml 中引入Log4j2的最新版本进行版本覆盖:
<dependencies>
	        <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
                <version>2.17.0</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
                <version>2.17.0</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-to-slf4j</artifactId>
                <version>2.17.0</version>
            </dependency>
</dependencies>

注:官方已发布最新的 2.17.0 版本。如本地仓库加载不到,可以配置官方的snapshot仓库(https://repository.apache.org/content/groups/),或者下载jar文件后上传到本地的私服库 来解决。

  • 代码级别验证:
@RunWith(SpringRunner.class)
@SpringBootTest
@Log4j2
public class SpringTests {
 
    @Test
    public void test(){
        log.error("${jndi:ldap://127.0.0.1:1389/#Exploit}");
        log.error("${}","jndi:ldap://127.0.0.1:1389/#Exploit");
    }
}

在这里插入图片描述

可以正常输出日志,不执行命令则漏洞修复生效。

  • 利用 Idea 插件 maven helper 进行验证
    在这里插入图片描述
  • 查看打包后的 jar 文件进行验证
    在这里插入图片描述

2.将项目中的 Log4j2 依赖排除

此种情况 适用于 项目对 Log4j2 没有强依赖的场景。

利用 Maven Helper 插件搜索出,依赖关系,在引入依赖的节点直接将 Log4j2 的引入排除掉 即可,例如:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-to-slf4j</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

注: 排除后需要验证: 项目能否正常启动? 项目功能是否正常?

四、第三方应用服务修复

  • 此次漏洞受影响的范围还是非常广泛的,包括一些常用的中间件、数据库,如果: ES、Kafka等;
  • 这些第三方的应用服务,修复起来是比较棘手的,短时间内在官方没有发布安全版本的情况下,只能临时通过替换应用目录中的jar文件的方式进行修复;
  • 可以去官方的snapshot库下载最新的 jar 文件,对第三方服务进行替换操作;
  • 注意做好文件备份工作,有的服务可能会出现启动失败的情况;

官方库地址:https://repository.apache.org/snapshots

五、漏洞修复注意事项

  • 修复程序版本是否与项目现场的版本匹配?
  • 修复完成后 要保证项目能够正常启动,且功能正常,有条件的最好部署到测试环境验证一下;
  • 工程实施部署时,一定要提前备份好部署包 和 相关数据;
倪发如雪
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 在信息技术领域,日志管理是系统维护和故障排查的重要环节。Log4j作为Java平台广泛使用的日志记录框架,其性能高效、功能强大,深受开发者的青睐。然而,随着技术的发展,安全...
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
Spring Boot Log4j2漏洞修复
涛哥是个大帅比
06-28 996
如果使用的是 Log4j 1.x、Logback或者其他日志框架,不受漏洞影响。如果使用Spring Boot默认日志,也是没有问题的,因为默认是Commons Logging。 Spring Boot框架只有在以下情况下才会受到此漏洞的影响:Log4J2 Vulnerability and Spring Boot https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot1.将默认日志切换到Log4J22.集成了spri
Log4j2 远程代码执行漏洞(CVE-2021-44228)
最新发布
qq_68163788的博客
06-18 1233
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228是Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
Apache Log4j2漏洞修复方案
qq_43570767的博客
01-16 933
Apache Log4j2 漏洞修复方案 + ESAPI
log4j2漏洞修复
qq_23625847的博客
12-12 475
log4j2漏洞修复
spring boot log4j2 漏洞修复
流月up的博客
10-16 165
log4j2的bug修复,局部版本升级
Apache Log4j2 漏洞修复及复现
JavaPub
12-11 8393
文末漏洞细节 文章目录前言修复建议漏洞细节 前言 这几天 Apache Log4j2 远程代码执行漏洞刷屏了整个互联网行业,公司也发生了这个问题,做出了紧急修复。 介绍 相信每一个技术人都有听过这款日志框架的大名。Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 https://github.com/apache/lo
Log4J2漏洞修复方法验证及最终方案
热门推荐
dbzzcz的博客
12-14 2万+
验证代码准备: 在项目登录接口中增加类似如下代码: @PostMapping("login") public R<?> login(@RequestBody LoginBody form) { //form.getUsername()="${java:version}" logger.info("登录:{}",form.getUsername()); // 用户登录 LoginUser userInfo = sysLoginService.login(form.getUsernam
es log4j2漏洞修复
qq_42703989的博客
12-28 3014
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞适用版本为 2.0<=Apache log4j2<=2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。 两台服务器上elasticsearch版本为7.14.0 ,所使用的Apache log4j2版本是 2.11,遂进行
Apache Log4j2漏洞修复
水布天
12-17 3794
Apache Log4j2漏洞修复1 背景2 影响范围3 检测4 处理4.1 升级处理4.1.1 下载4.1.2 修复4.1.3 验证4.2 紧急处理5 参考 1 背景 2021年12月17日,Apache Log4j2 绝对是众多 Java 程序员提到的高频词之一:由于 Apache Log4j2 引发的严重安全漏洞,令一大批安全人员深夜修 Bug、发补丁。此次漏洞更是因为其触发简单、攻击难度低、影响人群广泛等特点,被许多媒体形容为“核弹级”漏洞。本文主要是针对漏洞修复的处理过程。 漏洞名词: CVE-2
Spring Boot Log4j2漏洞修复指南 (Log4J2 Vulnerability and Spring Boot)
★【World Of Moshow 郑锴】★
12-14 1万+
###一句话总结issue###如果你使用的是 Log4j 1.x、Logback 或者其他日志框架,这次就可以幸免于难。如果你使用Spring Boot`默认日志`,也是没有问题的,因为默认是`Commons Logging`。 ###一句话solution###升级springboot到最新`v2.5.8`和`v2.6.2`以及后续版本,确保安全;如果单独依赖了log4j2日志,请强制使用最新版本`v2.17.1`。
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2Apache基金会...
log4j2漏洞修复jar包下载
07-07
log4j2漏洞修复jar包下载
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在描述中,“若依框架”是一个基于Spring Boot的开源企业级快速开发平台,它也受到了Log4j漏洞的影响。因此,若依框架的用户需要及时下载并部署log4j2.16.0,以保护他们的系统免受潜在的攻击。通常,更新Log4j2的...
LOG4J RCE 漏洞分享与自查.pdf
12-15
1. 升级 Log4j2 版本:我们可以升级 Log4j2 到最新版本,以修复漏洞。 2. 参数配置:我们可以通过参数配置,禁用 Lookup 模块的 JNDI 功能。例如,我们可以在 application.properties 文件中添加以下配置: log4j2....
log4j2漏洞修复建议
05-25
log4j2漏洞是一个非常严重的安全问题,已经被广泛关注和报道。如果你使用log4j2作为应用程序的日志框架,以下是一些修复建议: 1. 更新log4j2版本:Apache已经发布了log4j2安全补丁,建议升级至最新版本。如果升级不可行,也可以考虑使用其他日志框架。 2. 配置log4j2:通过配置log4j2,可以减轻漏洞的影响。例如,可以禁用JNDI查找、限制网络访问等。 3. 防火墙:如果应用程序不需要外部网络访问,可以通过防火墙限制对应用程序的访问。 4. 应用程序代码:在应用程序代码中,可以避免使用动态类加载,尽可能使用静态类加载。 5. 审查应用程序:检查应用程序中是否存在使用log4j2漏洞风险,特别是那些允许用户输入的地方。 总之,修复log4j2漏洞需要多方面的措施,建议及时采取措施保护你的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值