Log4j2安全漏洞

最新推荐文章于 2024-06-03 15:52:37 发布

hezuchao

最新推荐文章于 2024-06-03 15:52:37 发布

阅读量872

点赞数

分类专栏： java 文章标签： java log4j2 安全漏洞 spring boot

本文链接：https://blog.csdn.net/hezuchao/article/details/121857542

版权

java 专栏收录该内容

2 篇文章 0 订阅

订阅专栏

目前受影响的Apache Log4j2版本：

2.0 ≤ Apache Log4j <= 2.14.1

官方给的临时缓解措施：

1. 禁止没有必要的业务访问外网

2. 使用jvm参数启动 -Dlog4j2.formatMsgNoLookups=true

3. 设置 log4j2.formatMsgNoLookups=True

4. 系统环境变量中将 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

官方给的方案不够具体，现提供一个具体方案

自测通过，debug测试如下：

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

hezuchao

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Log4j2安全漏洞

Log4j2版本2以上安全漏洞，受影响版本2.0 ≤ Apache Log4j <= 2.14.1
复制链接

扫一扫

专栏目录

log4j2+kafka

04-26

NULL 博文链接：https://anhongyang125.iteye.com/blog/2360143

log4j2漏洞检测工具

05-07

Log4j2，一个广泛使用的Java日志框架，最近曝出的重大安全漏洞（CVE-2021-44228，被称为Log4Shell）引起了全球的关注。这个漏洞允许攻击者通过精心构造的日志输入执行远程代码，从而对系统造成严重威胁。为了解决这...

参与评论您还未登录，请先登录后发表或查看评论

利用CodeSec代码审核平台深度扫描Log4j2漏洞

技术杂谈

02-09

784

Log4j2 安全漏洞（编号 CVE-2021-44228）事件已经过去一个多月了，但它造成的危害影响却非常严重，各大软件安全厂商在第一时间针对此漏洞紧急做了补丁。虽然漏洞最早是由阿里发现的，但实际上它是一个0day漏洞，这就意味着早在国内发现它之前，国外可能利用该漏洞已经有一段时间了。 Log4j2 漏洞也许早就被发现了想发现这个安全漏洞其实并不难，使用常规的挖洞工具、SAST（静态应用安全测试）工具、SCA（软件成分分析）工具都能挖掘出来，但为什么一直没有引起重视或暴露出来呢？事实上，可能很多 h

Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么

最新发布

weixin_42340783的博客

06-03

1012

Log4j 即 log for java(java的日志) ，是Apache的一个开源项目，通过使用Log4j，我们可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；我们也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。

【Kafka】log4j2漏洞不影响集群安全

扬_帆_起_航

12-01

456

虽然Kafka不会受此事件影响，但是Kafka客户端日志输出需要用户单独引用配置，所以大家还是注意一下是否使用受影响版本的log4j2.x进行日志打印。

Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现

未完成的歌~的博客

03-15

7246

Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本，其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能，导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数，是通过配置文件中的${}语法调用的，例如：如果在日志消息中使用了，那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值，并将其替换为实际值。

分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2，2024年最新网络安全性能优化最佳实践

2401_83739777的博客

04-16

1338

Log4j是Apache的一个开源项目，通过使用Log4j，可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；Apache Log4j2是 Log4j的升级版本，据分析，该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断，如果内容中包含了${，则Log4j会认为此字符属于可替换的变量，并且Log4j支持JNDI远程加载的方式替换变量值。

Apache Log4j 2代码漏洞处置指南及检测工具.zip

12-10

Apache Log4j 2存在远程代码执行漏洞处置指南及期检测工具

log4j log4j2 2.15.0漏洞解决

12-10

然而，近期Log4j2曝出的重大安全漏洞（CVE-2021-44228）引发了全球关注，这个漏洞被称为“Log4Shell”，严重影响了依赖Log4j2的各类应用系统的安全性。本文将详细介绍Log4j2 2.15.0版本如何解决这一漏洞，并探讨相关...

log4j2.17.2

04-14

总结，log4j2.17.2是应对Log4j2 RCE漏洞的重要更新，通过加强安全配置和限制危险功能，为Java应用程序提供了更坚固的安全屏障。对于依赖Log4j2的系统而言，及时升级至该版本是保障系统安全、防范潜在风险的有效手段...

log4j2版本漏洞修复版本2.15.0

12-17

总结，Log4j2版本漏洞是一个严重安全问题，需要立即采取行动。通过升级到修复版本2.15.0及以上，并结合其他安全措施，我们可以有效地防止攻击者利用此漏洞。在日常开发和运维中，时刻关注并应对这类安全事件，是每个...

log4j2 kafka 性能瓶颈问题

weixin_30362801的博客

09-11

517

log4j2- v2.6.1 配置自身kafka appender后会出现消息发送瓶颈，局域网内平均为1秒1000条，这个完全不满足当前的发送需求。经排查发现在每次调用发送后，会回调get meta信息造成性能瓶颈解决办法，自定义appender，去掉send后的get方法。转载于:https://www.cnblogs.com/isenhome/p/7505260.html...

排查 log4j2 安全漏洞的一次经历

观测云的博客

08-16

1008

最近，技术圈被 log4j2 漏洞掀起巨浪，各大安全公司纷纷发文介绍该漏洞的危害，并给出了各种临时解决方案。还有一些博主也发表文章教我们如何找到易受攻击的地方，并采取相应的防御措施。还有大量帖子跟着起哄，讨论如何采用一些不必要的防御技术。前不久，我们就发现了一起由 log4j2 漏洞引发的挖矿事件。...

Apache Log4j2 (CVE-2021-44228)漏洞详细复现过程(docker)

weixin_45778886的博客

12-25

5057

复现环境 centos7(docker依赖环境),kali2019 环境搭建 1.使用 docker 拉取漏洞镜像 docker pull vulfocus/log4j2-rce-2021-12-09:latest 2.查看漏洞镜像并开启环境 docker images docker run -d -P vulfocus/log4j2-rce-2021-12-09 docker ps -a 3.访问漏洞环境,环境搭建完成 http://192.168.124.139:49153 漏洞复现

Log4j2安全漏洞引起的思考

manok的专栏

01-26

682

log4j安全漏洞能够从代码级别上和软件成分分析上两个维度上进行检测。

Log4j2漏洞复现

热门推荐

weixin_51519028的博客

08-12

1万+

Apache Log4j2是 Apache软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。2021 年 12 月 9 日晚，Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......

log4j2漏洞复现(CVE-2021-44228)

weixin_45585955的博客

05-11

7476

一、原理介绍由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。二、vulfocus靶场安装 docker pull vulfocus/vulfocus:latest docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.16..

速度！快速临时解决Log4j惊天漏洞

Galaxy_0的博客

02-15

784

速度！快速临时解决Log4j惊天漏洞

Apache Log4j2紧急缓解措施

weixin_45270673的博客

12-16

1701

Apache Log4j2紧急缓解措施一、修改启动脚本，添加：-Dlog4j2.formatMsgNoLookups 现在：java -jar xxx.jar 改为：java -jar -Dlog4j2.formatMsgNoLookups=true xxx.jar 二、修改配置jar包中的配置文件 application.properties #log4j2 log4j2.formatMsgNoLookups=True 配置文件是application.yml改为： #log4j2 log4j2: f

Log4j安全漏洞修复

07-29

根据引用\[1\]和\[2\]，修复Log4j安全漏洞的推荐方案是通过删除漏洞类进行修复。具体的操作是使用以下命令删除log4j-core jar包中存在漏洞的类：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class。这种修复方案比较稳定且被官方推荐使用。同时，根据引用\[2\]，需要检测Java应用是否引入了log4j-api和log4j-core两个jar包，如果存在应用使用这两个jar包，极大可能会受到影响。此外，根据引用\[3\]，该漏洞的CVE编号为CVE-2021-44228，它是由log4j-core代码中的JNDI注入漏洞导致的。这个漏洞可能直接导致服务器被入侵，并且由于日志场景的特性，攻击数据可以多层传导，甚至威胁到纯内网的服务器。考虑到log4j作为Java开发的基础公共日志类，使用范围非常广，该漏洞的影响范围可能非常深远，类似于过去的commons-collections反序列化漏洞。因此，为了修复Log4j安全漏洞，推荐使用删除漏洞类的方案，并且需要及时检测和更新Java应用中使用的log4j-api和log4j-core两个jar包，以确保应用的安全性。 #### 引用[.reference_title] - *1* *3* [Log4j 严重漏洞修最新修复方案参考](https://blog.csdn.net/Javaesandyou/article/details/122071474)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Log4j2漏洞修复](https://blog.csdn.net/derstsea/article/details/121918902)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]