Apache Log4j2安全漏洞解决方案-2021-12-10

最新推荐文章于 2023-03-25 19:45:51 发布
最新推荐文章于 2023-03-25 19:45:51 发布
阅读量3.1k 收藏 2
点赞数 1
分类专栏: 文章 文章标签: apache 安全 log4j2 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pdf1192012/article/details/121859946
版权

背景和临时方案查看:高危 Bug!Apache Log4j2 远程代码执行漏洞细节曝光:官方正在修复中

据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本:但是没有上传到中央仓库。所以只能采用临时方案(看链接),或者自己编译、打包、替换、发布来解决。

具体步骤如下:

1、从github下载zip包到本地进行解压缩(https://github.com/apache/logging-log4j2

2、在logging-log4j2-log4j-2.15.0-rc2目录下执行 mvn install -DskipTests

3、在本地仓库中找到对应目录,确认jar是正常的

4、将jar上传到私服

5、 替换项目中使用的jar,有两种方式

方式1: 采用dependencyManagement锁死jar的版本

 方式二:exclusions排除冲突的jar

tips本人试用了jdk版本1.8和11,11报错

迷惘如风
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4j,log4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压到maven资源库的/org/apache/logging/log4j下 log4j严重漏洞 log4j logging-log4j2-log4j-2.15.0-rc2 log4j-1.2-api-2.15.0.jar log4j-api-2.15.0.jar log4j-core-2.15.0.jar log4j-slf4j-impl-2.15.0.jar log4j-web-2.15.0.jar
apache-log4j-2.16.0-bin.rar
12-17
"apache-log4j-2.16.0-bin.rar"便是其中一个更新包,旨在为用户提供修复此漏洞解决方案。这个版本的更新主要包含了以下关键改进: 1. 禁用了JNDI查找:在Log4j2 2.16.0中,所有JNDI Lookup相关的代码路径都被默认...
高危预警 || 海云安发布Apache Log4j2漏洞处置方案
haiyunan的博客
03-22 532
2021年12月10日,国家信息安全漏洞共享平台收录了Apache Log4j2远程代码执行漏洞。攻击者利用该漏洞,可在未授权的情况下远程执行代码。 Apache Log4j2是一款Java开源日志组件,该工具重写了Log4j框架,该日志框架被大量用于业务系统开发,用来记录日志信息。多数情况之下,开发者可能会将用户输入导致的错误信息写入日志中。此漏洞的严重性、影响面,堪称史上之最。攻击者可以利用漏洞远程执行代码,最终获得服务器的最高权限。 受影响版本 Apache Log4j 2.x ...
分析Apache Log4j2 远程代码执行漏洞
ordersyhack
02-04 9140
分析Apache Log4j2 远程代码执行漏洞
Apache Log4j2 漏洞解决办法
半夏_2021的博客
04-16 3465
log4j2 漏洞解决办法
Apache log4j2安全漏洞解析及解决方法
博学笃志-格物明德
12-13 2444
1、使用logj2的低版本记录日志时,如果使用如下方式,则输出: 这是log4j2的一个lookup功能。 2、先用浏览器打开http://dnslog.cn/这个网址,如下图 3、调整代码,执行后,点击刷新 Refresh Record,发现ip获取到了。 4、解决方法: 1、通过jvm参数调整, 2、升级2.15.0版本。 ...
logging-log4j2-rel-2.17.0.zip
12-20
这个压缩包包含的是Log4j的源码,版本号为2.17.0,是Log4j 2系列的一个更新版本,主要目的是修复安全漏洞和其他性能改进。 在Log4j 2.x中,重点优化了日志性能和可扩展性。以下是关于Log4j 2.17.0的一些关键知识点...
apache-log4j-1.2.17
09-28
- 需要注意的是,Log4j 1.2版本存在一些安全漏洞,例如著名的Log4Shell漏洞(CVE-2021-44228),因此尽管1.2.17是一个稳定的版本,但为了安全性考虑,建议升级到更安全Log4j 2.x版本。 在使用"apache-log4j-...
apache-log4j-2.9.1-bin
05-23
总的来说,Apache Log4j 2.9.1提供了一个强大且灵活的日志解决方案,帮助开发者在开发过程中更好地监控和诊断问题,同时确保系统的安全性。通过深入理解和熟练使用,可以在项目中实现高效、定制化的日志管理。
apache-log4j-2.16.0-bin.tar.gz
12-14
Apache Log4j 是一个广泛...总之,Apache Log4j 2.16.0是Java日志记录领域的重要工具,提供了高效、灵活和安全的日志解决方案。对于开发人员来说,理解其特性和使用方法对于提升应用程序的可维护性和安全性至关重要。
Apache Log4j2,RASP防御优势及原理
二狗的博客
03-25 298
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
关于windows下修复log4j2漏洞时,下载源码编译报错未定义toolchains的解决办法
hengxin54的专栏
12-13 1372
log4j2漏洞修复过程中,下载源码后编译报错问题的解决办法
解决Apache Log4j2漏洞通用方案(最新&亲测有效)
热门推荐
weixin_43548310的博客
12-13 1万+
通用的Apache Log4j2漏洞最佳方案,赶紧冲冲冲!
log4j关于JNDI注入漏洞验证及修复
影子的博客
12-11 7558
log4j关于JNDI注入漏洞验证及修复一、漏洞说明二、漏洞检测方案三、影响范围四、影响组件五、彻底解决方案六、临时缓解方案七、漏洞复现八、本地编译log4j-2.15.0-rc版本方法1、下载源码2、安装JDK8、9、11。3、用idea打开源码4、修改toolchains-sample-win.xml文件的JDK安装路径5、修改maven的conf目录下的toolchains.xml文件,设置java11的安装路径6、编译安装到本地仓库 一、漏洞说明 漏洞原理官方表述:Apache Log4j2 中存在
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
Tom弹架构
12-12 5221
背景 近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2
ORM Bee是否需要为Log4j2远程代码执行漏洞作相应更新
abckingaa的博客
12-15 353
ORM框架Bee, 是否要更新相应框架的版本呢? 首先,Bee是一个不依赖于第三方框架的工具(也不依赖于某个日志框架)。若你的应用,有用到Log4j2, 只需要对其版本作相应的更新。 现在Log4j2 的版本,最新已更新到2.16.0 Bee,互联网新时代的JavaORM框架,更快、更简单、更自动,开发速度快,运行快,更智能! 性能好:接近JDBC的速度;文件小,仅310k。 漏洞相应信息: Apache Log4j2是一款Java日志框架,大量应用于业务系统开发。 在...
log4j2漏洞各大厂应对措施
小白码上飞
12-11 4725
腾讯阿里美团字节等大厂应对log4j2漏洞措施
apache log4j CVE-2021-44228漏洞怎么解决
最新发布
06-03
java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值