Log4j2安全漏洞

目前受影响的Apache Log4j2版本:

2.0 ≤ Apache Log4j <= 2.14.1

官方给的临时缓解措施:

1. 禁止没有必要的业务访问外网

2. 使用jvm参数启动 -Dlog4j2.formatMsgNoLookups=true

3. 设置 log4j2.formatMsgNoLookups=True

4. 系统环境变量中将 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

官方给的方案不够具体,现提供一个具体方案

自测通过,debug测试如下:

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
根据引用\[1\]和\[2\],修复Log4j安全漏洞的推荐方案是通过删除漏洞类进行修复。具体的操作是使用以下命令删除log4j-core jar包中存在漏洞的类:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class。这种修复方案比较稳定且被官方推荐使用。同时,根据引用\[2\],需要检测Java应用是否引入了log4j-api和log4j-core两个jar包,如果存在应用使用这两个jar包,极大可能会受到影响。 此外,根据引用\[3\],该漏洞的CVE编号为CVE-2021-44228,它是由log4j-core代码中的JNDI注入漏洞导致的。这个漏洞可能直接导致服务器被入侵,并且由于日志场景的特性,攻击数据可以多层传导,甚至威胁到纯内网的服务器。考虑到log4j作为Java开发的基础公共日志类,使用范围非常广,该漏洞的影响范围可能非常深远,类似于过去的commons-collections反序列化漏洞。 因此,为了修复Log4j安全漏洞,推荐使用删除漏洞类的方案,并且需要及时检测和更新Java应用中使用的log4j-api和log4j-core两个jar包,以确保应用的安全性。 #### 引用[.reference_title] - *1* *3* [Log4j 严重漏洞修最新修复方案参考](https://blog.csdn.net/Javaesandyou/article/details/122071474)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Log4j2漏洞修复](https://blog.csdn.net/derstsea/article/details/121918902)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值