log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson?让它再飞一会儿

最新推荐文章于 2022-09-25 13:22:33 发布
最新推荐文章于 2022-09-25 13:22:33 发布
阅读量3.2k 收藏
点赞数
文章标签: 安全 服务器 web安全 编程语言 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62051288/article/details/122244254
版权

就在2.17.0发布过去一周,2.17.1又来了,官方发版截图如下!最近因为安全问题,log4j2一连发布数个版本,这节奏简直可以吊打去年的fastjson了:

但是,请不要惊慌!不用被信息轰炸!不要急着紧急版本升级!抽根烟,压压惊,没什么大不了!

让我们分析一下官方对这个漏洞的总结,原文如下所示,也就是说,需要攻击者能够控制log4j2的配置文件。这个条件就比较苛刻了。一般我们的应用都部署在服务器上,能修改配置文件的,除了运维同学,我想不到还有谁能做这个事情:

再来看一下官方对这个安全漏洞的详细描述:

也就是说,到2.17.0的log4j2在面对RCE(即远程代码执行)攻击时都是脆弱的。但是只有当攻击者有权限修改logging的配置文件,然后将其修改为一个恶意的配置文件,并且用了带JNDI数据源的JDBC Appender来执行远程代码,才会对服务器有影响。

解决措施

所以,不要慌!不需要发布紧急版本,只需要随着就近的迭代升级log4j2即可,请千万不要发布紧急版本,不需要:

  1. JDK请升级到2.3.2
  2. JDK请升级到2.12.4
  3. JDK8及以上请升级到2.17.1
Java技能树
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
log4j-2.17.1的jar包,导入即可使用
02-07
log4j的jar包,用于代码开发,记录日志等
Apache Log4j_1.2.17 完整依赖包
04-03
Apache Log4j_1.2.17 完整依赖包,在jdk1.8.201中测试通过。使用教程https://www.tutorialspoint.com/springmvc/springmvc_log4j.htm
log4j2学习
kevin_琪琪的博客
06-10 670
众所周知,最近log4j被测出了漏洞,先是log4j2被测出了漏洞,漏洞影响范围为Log4j2.x
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
热门推荐
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
Log4j一个月内第五次漏洞:2.17.1版本修复了新的远程代码执行错误
极道Jdon的技术博客
12-29 2011
Apache 发布了另一个 Log4j 版本 2.17.1,修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞,编号为 CVE-2021-44832。在今天之前,2.17.0 是 Log4j 的最新版本,被认为是最安全的升级版本,但现在这个建议已经演变。一个月内五次Log4j CVE攻击者对原始Log4Shell 漏洞(CVE-2021-44228) 的大规模利用始于 12 月 9 日左右,当时 GitHub 上出现了针对该漏洞的PoC 漏洞利用。发现...
Log4j2的使用
一明
04-27 226
官网:https://logging.apache.org/log4j/2.x/ 1.在pom.xml里面添加依赖项 <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> &...
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...
Apache Log4j 2 (apache-log4j-2.17.1-bin.tar.gz)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.tar.gz)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.tar.gz)
01-07
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.tar.gz) 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全...
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.zip)
01-07
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.zip) 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞...
log4j2漏洞升级不打印日志
weixin_44431755的博客
09-25 1049
log4j2漏洞升级不打印日志
log4j-core-2.17.1-API文档-中英对照版.zip
06-06
赠送jar包:log4j-core-2.17.1.jar; 赠送原API文档:log4j-core-2.17.1-javadoc.jar; 赠送源代码:log4j-core-2.17.1-sources.jar; 赠送Maven依赖信息文件:log4j-core-2.17.1.pom; 包含翻译后的API文档:log4j-core-2.17.1-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.logging.log4j:log4j-core:2.17.1; 标签:apache、logging、log4j、core、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
卧槽,Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。
Java技术栈,分享最主流的Java技术
12-20 476
Log4j2 再爆雷 Log4j2 这是没完没了了,栈长以为《玩大了!Log4j 2.x 再爆雷。。。》 Log4j 2.16.0 是最终终结版本了,没想到才过多久又爆雷了: 前两天栈长还说 Log4j 2.16.0 是最安全的版本,没想到这么快就又打脸了,Log4j 2.17.0 横空出世。。。 又来了。。Log4j2 这是中了新冠的毒? 这次又爆出来新的 DOS 拒绝服务攻击漏洞。。 如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。 安全漏洞:
最详细的Log4j使用教程
mrdu_somefun的博客
12-18 459
日志是应用软件中不可缺少的部分,Apache的开源项目log4j是一个功能强大的日志组件,提供方便的日志记录。在apache网站:jakarta.apache.org/log4j 可以免费下载到Log4j最新版本的软件包。 一、入门实例 1.新建一个JAva工程,导入包log4j-1.2.17.jar,整个工程最终目录如下 2、src同级创建并设置log4j.proper
强制指定log4j版本(打包后也没问题)
qiaodaima0的博客
03-18 1294
背景: log4j漏洞从去年升级了好几个版本,确实已经让大家很烦躁了,但还是得要处理下 动手: 一般来说多个服务依赖都会引用同一个公共依赖管理,来减少版本冲突,这样我们直接在公共依赖里面强制指定即可。 1、公共依赖POM设置: <properties> <log4j.version>2.17.2</log4j.version> <!--这个是指定一些依赖中的版本--> <log4j2.version>2.17.2</l
zookeeper kafka elasticsearch解决log4j问题
sun_xuegang的博客
06-17 993
log4j
Apache log4j-1.2.17问答式学习笔记
猿类崛起
12-27 2356
(1)Apache log4j-1.2.17源码学习笔记http://blog.csdn.net/zilong_zilong/article/details/78715500(2)Apache log4j-1.2.17问答式学习笔记http://blog.csdn.net/zilong_zilong/article/details/78916626(3)JDK Logging源码学习笔记htt...
Log4j 1.2.17 使用
weixin_33922670的博客
11-12 1035
为什么80%的码农都做不了架构师?>>> ...
log4j2.17.1.jar使用
最新发布
08-06
log4j2.17.1.jar是Apache Log4j的一个版本,它是一个功能强大的日志记录框架,用于帮助开发人员在应用程序中实现灵活和可维护的日志记录。 使用log4j2.17.1.jar的第一步是将该jar文件添加到项目的Java构建路径中。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值