Maven项目 快速修复log4j 漏洞

已于 2024-03-12 15:40:08 修改
阅读量567 收藏 6
点赞数 7
文章标签: maven log4j java
于 2024-03-12 15:36:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangxiang2008/article/details/136653033
版权

1、log4j 漏洞介绍

        log4j的漏洞介绍以及原理请参考文章 ,网址详见下面文章         Log4j漏洞原理及修复_linux log4j漏洞修复方案-CSDN博客,遇到这个漏洞要升级log4j 的jar包到2.17.0 以上。

2、项目快速处理方案

    由于maven 管理jar 的spring 项目或者springBoot 项目的jar包依赖树级关系,最后构建一个庞大的依赖关系图。而log4j 是常用的底层jar包,如果一个一个jar 依赖通过配置排除依赖的话,工作量很大,并且很容易漏掉。而dependencies 的优先级高于dependencyManagement,所以首先把dependencies 中依赖log4j 相关包去掉,然后在dependencyManagement 升级Log4j 相关的包,如下截图,这样就可以快速处理log4j 漏洞

hack-2008
关注
Log4j 漏洞修复和临时补救方法
12-14 3792
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
Log4j漏洞修复
培根芝士的专栏
12-30 2089
Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。 12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 简单来说,就是在打印日志时,如果发现日志内
Log4j2漏洞复现&原理&补丁绕过
最新发布
无问社区的博客
07-17 538
我tm都呕了,昨晚出了这个洞,在家复现半天没搞出来,然后凌晨快两点的时候成功了两次,然后又不行,然后睡了,贼jb真实。然后今天来公司随便搞了两下就成功了,唯一的变化就是换了台电脑,贼jb恐怖。经过测试就是jdk版本的问题。0x02 漏洞复现这里我一共使用了两个jdk版本8u202的情况比较特殊,其实我今天凌晨在家里用的也是8u202的版本,失败了。今天来公司也是用的8u202版本的jdk,成功了。
Apache Log4j 漏洞修复
weixin_43354218的博客
12-19 603
Log4j 漏洞修复 文章目录Log4j 漏洞修复1、漏洞介绍2、漏洞修复2.1 1.升级Log4j版本2.2 配置启动参数 1、漏洞介绍 Apache Log4j2 是一款优秀的 Java 日志框架,Log4j 2.x – 2.14.0 版本 Lookup 基于 JNDI(Java Naming and Directory Interface),而 JNDI 支持 RMI ( Remote Method Invocation )。这导致在打印用户输入特定文本时可能远程调用任意代码在本地执行。 2、漏洞
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4116
spring-boot-starter-log4j2漏洞修复方式
解决log4j漏洞(maven版本切换、版本冲突)
weixin_42351206的博客
12-13 7920
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录的前言具体步骤总结 上周四(20211213),周五,发生了一件大事,log4g从2.0开始到2.14.1(2.14.1漏洞修复)之前。存在重大漏洞。这里教大家怎么切换版本,修复漏洞。本人水平有限,如有误导,欢迎斧正,一起学习,共同进步! 前言 思路:重新在项目中导入新的log4j的依赖,然后解决冲突,将有问题的版本替换为正常的版本 具体步骤 1、找到项目,并打开maven的依赖图 2、进入到此界面以后,ctrl+f 搜索 lo
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
标题中提到的“log4j2.16.0”是Log4j2框架的一个安全更新版本,主要目的是修复这个被称为“Log4Shell”的漏洞Log4j2.16.0是官方发布的一个重要安全补丁,它包含了一系列的安全增强措施,以防止恶意输入触发远程...
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4jlog4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压...
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1997
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
Log4j 漏洞修复检测 附检测工具
热门推荐
cnsre运维博客
12-13 1万+
作者:SRE运维博客 博客地址:https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211213210004/ 相关话题:https://www.cnsre.cn/tags/Log4j/ 近日的Log4j2,可是非常的火啊,我也是加班加点把补丁给打上了次安心。Apache Log4j2存在远程代码执行漏洞,经验证,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制。由于Apache Log4j 2应用较为广泛,建议使用该组件的用..
Log4j执行漏洞修复教程
github_36774378的博客
12-16 5992
Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。
原有项目修复log4j漏洞
坐等夕阳落time的博客
12-25 223
原有项目修复log4j漏洞
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 945
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
速度!快速临时解决Log4j惊天漏洞
DynmicResource的博客
12-10 2216
theme: scrolls-light ???? 个人主页:@青Cheng序员石头 ???? 粉丝福利:加粉丝群 一对一问题解答,获取免费的丰富简历模板、提高学习资料等,做好新时代的卷卷王! Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优...
使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
qq_53058639的博客
05-15 669
简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对该漏洞的处理方案。
java maven 项目中引入 log4j
05-11
要在 Java Maven 项目中引入 log4j,需要按照以下步骤进行操作: 1. 在项目的 pom.xml 文件中,添加 log4j 的依赖: ```xml <groupId>log4j <artifactId>log4j <version>1.2.17 ``` 2. 在项目中,创建一个名...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值