Log4j 爆“核弹级”漏洞 修复方法

最新推荐文章于 2024-05-13 06:19:02 发布
最新推荐文章于 2024-05-13 06:19:02 发布
阅读量4.2k 收藏
点赞数
分类专栏: java 文章标签: apache 安全 java log4j2 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oseica/article/details/121869201
版权

12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。

Apache Log4j 2.x <= 2.15.0-rc1 版本均回会受到影响。

修复方案:

1.快速应急修复方案(任选其一进行修复)

(1)修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
(2)修改配置 log4j2.formatMsgNoLookups=True
(3)将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

2.升级log4j为2.15.0-rc2版本进行彻底修复

apache-log4j-2.15.0-rc2-bin.zip

下载下来后本地直接引用或上传到本地私服,

将引用了Log4j   2.x-2.15.0-rc1的都在maven里做排除jar包处理

如:
  <exclusions>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
        </exclusion>
    </exclusions>

注意:主要排除低版本 log4j-api、log4j-core、log4j-to-slf4j

然后再单独引用

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.15.0</version>
    <!--或者本地引用-->
</dependency>
oseica
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Log4j漏洞原理及修复
o0way0o的博客
01-01 1921
*JNDI(Java Naming and Directory Interface–Java)**命名和目录接口 是Java中为命名和目录服务提供接口的API,通过名字可知道,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其中Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中,同时可通过名字获取对象的属性同时操作属性。
Log4j漏洞修复方案
测试开发小白变怪兽
12-20 573
1、受影响版本 2.0 <= Apache Log4j <= 2.15.0-rc1 目前2.16.0正式版本已发布 2、排查项目中是否引用Log4j mvn dependency:tree 3、强制升版本 在顶POM文件中指定版本:2.16.0 <properties> <log4j.version>2.16.0</log4j.version> </properties>
Log4j 漏洞测试
最新发布
2401_84097678的博客
05-13 1000
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
Apache log4j2 远程命令执行漏洞复现及修复方案
杨小熊学习笔记
12-14 6397
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
Apache log4j 史诗漏洞、补救方法
supwuq的博客
12-10 2536
国家互联网应急中心https://www.cert.org.cn/publish/main/8/2021/20211210110550958546708/20211210110550958546708_.html 国家互联网应急中心都发布了,作为Java界日志工具的杠把子,Log4j和Logback几乎统一了江湖,如今被出"高危漏洞" 真的让开发人员连夜改修复漏洞漏洞的具体内容如图我就不多说了,,相关的企业肯定都收到了排查通知书。我们项目组也不另外,下面是整理的一些补救措施。 1:升jar,pom
解决项目中log4j版本漏洞
weixin_43573186的博客
12-29 4009
解决项目中log4j版本漏洞 前言:作为程序员应该都知道最近log4j出现的漏洞问题,讲一讲我所在的公司,其实领导在log4j出存在漏洞的当天就在群里说了这个事,并且让我们把自己负责的系统都检查一遍,有使用到log4j存在漏洞的版本都要进行更新(因为有些版本还没出存在安全问题),但是当时都没什么人去注意,结果直到上周末,我们组负责的一个缴费系统出现不能缴费的情况,才发现是中了病毒。然后领导们开始极度重视,专门安排人监督我们来更新log4j版本。 废话不多说了,讲一下我负责的系统更新方式: 首先,一般
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 在信息技术领域,日志管理是系统维护和故障排查的重要环节。Log4j作为Java平台广泛使用的日志记录框架,其性能高效、功能强大,深受开发者的青睐。然而,随着技术的发展,安全...
ArcGIS漏洞修补工具(Log4J
01-18
ArcGIS Enterprise 10.9.1及以下版本的 log4j 漏洞修补工具
log4j漏洞修复jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复jar包(log4j-1.2-api-2.17.0.jar)
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2Apache基金会...
Log4j核弹bug复现及解决方案
wangdakaiwandashuai的博客
12-14 1590
Log4j核弹bug
Log4j 漏洞修复和临时补救方法
12-14 3755
1.2 漏洞及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
Log4j2漏洞
热门推荐
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(四)—漏洞修复原理(2.15.0-RC1、2.15.0、2.16.0)
跳小闹成长记
12-14 3166
本文将和大家一起对Log4j2漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞Java高低版本中的不同攻击原理 3、Log4j2漏洞Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
Apache log4j核弹漏洞,一篇完全理解漏洞原因
Java码农杂谈
12-15 4407
2021年12月9日,Log4j组件发生了核弹别的安全漏洞。作为Java语言程序最普遍使用的组件之一,该次漏洞影响覆盖面之广堪比核弹炸;漏洞影响力的大小,从被大家戏称为Log4Shell就可以看出危害之大! 相信圈内的人基本都听到了该消息,也和我一样想弄清楚漏洞究竟是怎么发生的?漏洞的影响范围?能带来什么危害?漏洞的原理是什么? 12月10日,Apache官方也是披露了漏洞的相关详细信息。带着疑问了解了相关信息,分享给大家。 一、漏洞的影响范围? 程序中使用了Apache Log4j 2.x <=
Log4j漏洞修复
yuzhiqiang_1的博客
12-10 6471
原因: log4j安全漏洞,紧急进行版本修复。 过程: 项目中查找是否使用到log4j,发现在lombok中有使用log4j 2.11.2版本 解决方案: 在pom文件中找到lombok节点 添加排除属性<exclusions> 因在maven仓库中没有log4j-2.15.0-rc2.jar 。[jar下载地址](https://archiva-maven-storage-prod.oss-cn-beijing.aliyuncs.com/repository/central/#
log4j2漏洞
magic_kid_2010的专栏
12-17 7058
一、影响范围: Apache Log4j 2.x <= 2.15.0-rc1 二、可能受影响的应用不限于以下内容: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Druid Apache Flink ElasticSearch Flume Dubbo Jedis Logstash Kafka Apache Storm 三、解决办法: 1、等待官方升 log4j2 版本。 2、自己升 log
Apache Log4j2 就在身边, 搜一下项目文件,莫慌
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
12-11 2917
搜了一下项目文件~别慌,升一下就好!!! 严重 Apache Log4j2 远程代码执行漏洞 CVE编号 CVE-2021-44228 利用情况 漏洞武器化 补丁情况 官方补丁 披露时间 2021-12-09 该漏洞已被黑客武器化,用于大规模蠕虫传播、勒索挖矿,建议您立即关注并修复漏洞描述 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功
VMSA-2021-0028.pdf
12-13
“VMSA-2021-0028.pdf”文件是关于VMware针对CVE-2021-44228,即著名的Apache Log4j漏洞修复方案。此漏洞影响了多个VMware产品,公司提供了临时措施以及官方说明链接,用户可以参考这些信息来保护其系统安全。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oseica

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值