log4j2漏洞修复

最新推荐文章于 2024-05-13 06:19:02 发布
最新推荐文章于 2024-05-13 06:19:02 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: Spring 文章标签: linq wpf p2p
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyuinsdu/article/details/121883923
版权

一、【紧急补救措施】

(1)  修改jvm参数 -Dlog4j2.formatMsgNoLookups=true     

(2)  修改配置log4j2.formatMsgNoLookups=True

(3)  将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

首先修改supervisor的配置文件

增加环境变量

 

遍历一下日志文件,看看是否有攻击

没有人攻击,很好

二、修改依赖库

【影响范围】:Java类产品:Apache Log4j 2.x < 2.15.0-rc2

  可能的受影响应用及组件(包括但不限于)如下:

Apache Solr

Apache Flink

Apache Druid

Apache Struts2

srping-boot-strater-log4j2

ElasticSearch

flume

dubbo

Redis

logstash

kafka

更多组件可参考如下链接:

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

不受影响版本:Apache log4j-2.15.0-rc2

 首先在根pom文件直接引入依赖

<!-- 升级log4j到2.15.0版本,解决远程命令执行的bug -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-slf4j-impl</artifactId>
            <version>2.15.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.15.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.15.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-jcl</artifactId>
            <version>2.15.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-jul</artifactId>
            <version>2.15.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-web</artifactId>
            <version>2.15.0</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jul-to-slf4j</artifactId>
            <version>1.7.32</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>2.15.0</version>
        </dependency>
        <!-- 升级log4j到2.15.0版本,解决远程命令执行的bug -->

 查找是不是引入成功了

觉得文件太长可以过滤一下 

 

linux用grep代替findstr

在有问题的组件内加入 

<exclusions>
                    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-slf4j-impl</artifactId>
                    </exclusion>
                    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-core</artifactId>
                    </exclusion>
                    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-api</artifactId>
                    </exclusion>
                    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-jul</artifactId>
                    </exclusion>
                    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-jcl</artifactId>
                    </exclusion>
                    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-to-slf4j</artifactId>
                    </exclusion>
                </exclusions>

最后在idea使用show effective pom再检查

 

发现版本升级了

 

经过以上操作,大体可以暂时放心了 

liuyuinsdu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解决项目中log4j版本漏洞
weixin_43573186的博客
12-29 4002
解决项目中log4j版本漏洞 前言:作为程序员应该都知道最近log4j出现的漏洞问题,讲一讲我所在的公司,其实领导在log4j被爆出存在漏洞的当天就在群里说了这个事,并且让我们把自己负责的系统都检查一遍,有使用到log4j存在漏洞的版本都要进行更新(因为有些版本还没爆出存在安全问题),但是当时都没什么人去注意,结果直到上周末,我们组负责的一个缴费系统出现不能缴费的情况,才发现是中了病毒。然后领导们开始极度重视,专门安排人监督我们来更新log4j版本。 废话不多说了,讲一下我负责的系统更新方式: 首先,一般
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
Log4j 漏洞测试
最新发布
2401_84097678的博客
05-13 997
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
速度!快速临时解决Log4j惊天漏洞
Galaxy_0的博客
02-15 735
速度!快速临时解决Log4j惊天漏洞
Log4j漏洞修复
yuzhiqiang_1的博客
12-10 6468
原因: log4j被爆安全漏洞,紧急进行版本修复。 过程: 项目中查找是否使用到log4j,发现在lombok中有使用log4j 2.11.2版本 解决方案: 在pom文件中找到lombok节点 添加排除属性<exclusions> 因在maven仓库中没有log4j-2.15.0-rc2.jar 。[jar下载地址](https://archiva-maven-storage-prod.oss-cn-beijing.aliyuncs.com/repository/central/#
Log4j2 重大漏洞与解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j的漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
Log4j2 漏洞与解决方案】
m0_46459413的博客
12-29 493
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重新编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 在信息技术领域,日志管理是系统维护和故障排查的重要环节。Log4j作为Java平台广泛使用的日志记录框架,其性能高效、功能强大,深受开发者的青睐。然而,随着技术的发展,安全...
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2的漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2是Apache基金会...
使用命令参数方式指定log4j配置文件
zhao1949的专栏
10-27 4527
一般而言使用log4j时,只要把log4j.properties放置到类路劲下就可以了,这是log4j会自动从类路径下去寻找然后初始化,然手好多时候,我需要将log4j.properties的文件放置到自己需要的地方,一种是需要是log4j配置对象初始化,例如: [java] view plain copy import com.foo.Bar;    impor
lo4j2 漏洞复现过程及解决方案
javagty6778的博客
01-11 333
操作系统:macos Catalinajdk 版本:11.0.9.1log4j2 版本:2.13.3(使用 springboot 2.3.2.RELEASE 间接依赖)引用公众号:“小林 coding” 的一张图:但如果你的日志中包含 “${” 开头,“” 结尾的内容就会被解析出来,单独处理。而如果“${},则有可能触发这个漏洞
Elasticsearch与最新的log4j2零日漏洞
点火三周的专栏
12-12 6991
今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!) 划重点: 我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行 测试方案: 使用
Log4j2漏洞
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
smellycat000的专栏
12-10 4440
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞。经过分析,该组件存在Java JND...
log4j2漏洞升级
magic_kid_2010的专栏
12-17 7047
一、影响范围: Apache Log4j 2.x <= 2.15.0-rc1 二、可能受影响的应用不限于以下内容: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Druid Apache Flink ElasticSearch Flume Dubbo Jedis Logstash Kafka Apache Storm 三、解决办法: 1、等待官方升级 log4j2 版本。 2、自己升级 log
手把手教你复现Log4j2漏洞,千万别中招!
Java知音
12-13 2179
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/qq_40989258/article/details/1218623630x00 简介ApacheLog4j2是一个...
log4j2漏洞修复建议
05-25
log4j2漏洞是一个非常严重的安全问题,已经被广泛关注和报道。如果你使用log4j2作为应用程序的日志框架,以下是一些修复建议: ...总之,修复log4j2漏洞需要多方面的措施,建议及时采取措施保护你的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liuyuinsdu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值