springboot如何修复log4j2远程代码执行漏洞CVE-2021-44228(一行代码解决)

最新推荐文章于 2024-05-16 11:59:44 发布
最新推荐文章于 2024-05-16 11:59:44 发布
阅读量994 收藏
点赞数 2
分类专栏: springboot LDAP 文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzx1991610/article/details/121962816
版权
  • log4j2的漏洞被爆出来这两天忙着修复负责的各系统的漏洞,一般maven的非springboot项目直接升级版本即可、但是springboot项目中就算你使用的是logback来输出日志,仍然会存在漏洞的可能,log4j-api这个包是在spring-boot-starter-logging中,只要你使用的是2.0版本以上的springboot大概率会有此漏洞。
  • 废话少说了直接上代码
  • 版本一:
    既然log4j的相关依赖在spring-boot-starter-logging中那么直接用进行排除然后引入高本版的log4j
	<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-logging</artifactId>
			<exclusions>
				<exclusion>
					<groupId>org.apache.logging.log4j</groupId>
					<artifactId>log4j-to-slf4j</artifactId>
				</exclusion>
			</exclusions>
		</dependency>
		<dependency>
			<groupId>org.apache.logging.log4j</groupId>
			<artifactId>log4j-api</artifactId>
			<version>2.15.0</version>
		</dependency>
		<dependency>
			<groupId>org.apache.logging.log4j</groupId>
			<artifactId>log4j-to-slf4j</artifactId>
			<exclusions>
				<exclusion>
					<groupId>org.apache.logging.log4j</groupId>
					<artifactId>log4j-api</artifactId>
				</exclusion>
			</exclusions>
			<version>2.15.0</version>
		</dependency>
  • 版本二 :
    properties配置中直接加上次配置:
<log4j2.version>2.15.0</log4j2.version>
sleep的线程
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-44228 Log4j 远程代码执行漏洞——原理
m0_61506558的博客
09-05 602
http://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE-2021-44228 CVE-2021-44228 远程代码执行漏洞 →2.15.0修复 CVE-2021-45046 拒绝服务Dos漏洞 →2.16.0修复 CVE-2021-45105 拒绝服务Dos漏洞 →2.17.0修复 CVE-2021-44832 远程代码执行漏洞 →2.17.1修复
Log4j CVE-2021-44228 漏洞Spring Boot解决方案
oscar999的专栏
12-17 2053
Log4j 的2 到 2.14 版本最近爆出了一个比较大的漏洞漏洞编号是CVE-2021-44228。本篇对该漏洞进行简单介绍, 并介绍Spring Boot项目如何解决漏洞
CVE-2021-44228——Vulfocus-Log4j RCE漏洞复现_vulfouscve-2021-44228(1)
最新发布
2401_84519859的博客
05-16 239
需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**用payload打的时候发现服务器返回404。反弹shell命令进行了base64编码。原因是因为GET数据传输要URL编码。替换JNDI对应的payload。payload GET方式提交。反弹shell成功拿到flag。URL编码后提交正常。DNSlog成功回显。
spring boot通过升级log4j2解决远程代码执行漏洞
春风化雨
12-15 503
1、升级log4j2到最新版版 首先,查看springboot默认依赖log4j2版本,如下是版本:2.12.1。 确定是受影响版本:Apache Log4j 2.x <= 2.15.0-rc2 2、处理方案 pom.xml 添加:<log4j2.version>2.16.0</log4j2.version> <properties> <okhttp.version>3.13.1</okhttp..
Spring Boot Log4j2漏洞修复
涛哥是个大帅比
06-28 994
如果使用的是 Log4j 1.x、Logback或者其他日志框架,不受漏洞影响。如果使用Spring Boot默认日志,也是没有问题的,因为默认是Commons Logging。 Spring Boot框架只有在以下情况下才会受到此漏洞的影响:Log4J2 Vulnerability and Spring Boot https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot1.将默认日志切换到Log4J22.集成了spri
spring boot log4j2 漏洞修复
流月up的博客
10-16 164
log4j2的bug修复,局部版本升级
Spring Boot解决Log4j2漏洞(maven、gradle)
m0_49241056的博客
12-23 578
springboot解决log4j2漏洞(maven、gradle)
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录注入恶意代码远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
然而,在2021年12月初,一个严重的安全漏洞CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码,对受影响的系统造成...
CMS Made Simple (CMSMS) 前台代码执行漏洞 CVE-2021-26120.md
04-08
CMS Made Simple (CMSMS) 前台代码执行漏洞 CVE-2021-26120.md
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
SpringBoot集成slf4j+log4j2的示例代码
08-27
主要介绍了SpringBoot集成slf4j+log4j2的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
Spring Boot Log4j2漏洞修复指南 (Log4J2 Vulnerability and Spring Boot)
轻锋
12-15 734
前言 一句话总结issue:如果你使用的是 Log4j 1.x、Logback 或者其他日志框架,这次就可以幸免于难。如果你使用Spring Boot默认日志,也是没有问题的,因为默认是Commons Logging。 一句话修复solution:升级springboot到最新v2.5.8和v2.6.2以及后续版本,确保安全;如果单独依赖了log4j2日志,请强制使用最新版本v2.15.0换切换其他日志系统或者追加参数-Dlog4j2.formatMsgNoLookups=true。 UPDATE: 2
漏洞复现】log4j2 CVE-2021-44228
zg_111的博客
03-20 2516
漏洞复现】log4j2 CVE-2021-44228漏洞复现
Log4j2漏洞复现(CVE-2021-44228
鹿鸣天涯
01-13 624
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
Log4j2远程代码执行漏洞(cve-2021-44228)复现
citytwilight的博客
05-22 2714
Log4j2远程代码执行漏洞(cve-2021-44228)复现(反弹shell)
Log4j2 zero day(CVE-2021-44228) 漏洞浅析
swf3389的博客
12-18 3055
引言: 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。通过日志,可以帮助我们了解程序的运行情况,排查程序运行出现的问题。在Java技术栈,用的比较多的日志输出框架主要是log4j2和logback。我们经常会在日志输出一些变量,比如:logger.info(“proj name: {}”, name),那作为一个优秀的全异步日志框架log4j2是否就是完美无瑕的呢?No,当然不是,最近全球知名开源日志组件 Apache Log4j2 被阿里团队曝出严重高危漏洞。该漏洞号称可以让黑客
目标可能存在Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)怎么修复
07-13
对于 Apache Log4j2 远程代码执行漏洞CVE-2021-44228),修复步骤如下: 1. 首先,确认你的应用程序是否使用了 Apache Log4j2。如果使用了,需要升级到修复漏洞的版本。你可以查看 Apache Log4j2 的官方网站或者软件包管理工具获取最新版本的信息。 2. 如果升级不可行,你可以考虑使用以下两种临时解决方案之一: - 在应用程序的配置文件,禁用 JNDI 查找功能,通过设置以下参数实现: ``` log4j2.formatMsgNoLookups=true ``` 这样可以禁用 JNDI 注入。 - 或者,通过设置系统属性来禁用 Log4j 的 JNDI 特性: ``` -Dlog4j2.formatMsgNoLookups=true ``` 这样可以在应用程序启动时禁用 JNDI 注入。 注意:这两种解决方案都是临时性的,建议尽快升级到修复版本。 3. 检查你的应用程序,确保没有直接或间接使用了受影响的 Log4j2 版本。如果有其他依赖库或框架使用了 Log4j2,需要确认它们是否已经更新到修复版本。 4. 定期检查和更新你的应用程序和依赖库。及时

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值