log4j2漏洞修复指南

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量2.9k 收藏
点赞数 1
分类专栏: 技术分享 文章标签: apache 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/programmer_union/article/details/121911233
版权
Apache Log4j2存在严重远程代码执行漏洞,影响广泛,包括Apache Struts2、Solr、Druid、Flink等。漏洞细节、PoC和EXP已公开,且在野利用已存在。受影响版本为2.14.1以下。修复方案包括升级到2.14.1,排除三方包依赖的旧版本log4j,并修改启动参数。
摘要由CSDN通过智能技术生成

背景

漏洞名称: Apache Log4j 远程代码执行漏洞
漏洞等级: 严重
漏洞描述: Apache Log4j2是一款优秀且应用非常广泛的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。

由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

漏洞细节: 已公开

漏洞PoC: 公开

漏洞EXP: 公开

在野利用: 已存在
影响版本 Apache Log4j 2.x <= 2.14.1

修复步骤
检查本地项目依赖的org.apache.logging.log4j:log4j-api和org.apache.logging.log4j:log4j-core版本号
如果版本号小于2.10.x ,升级到2.14.1

    compile "org.apache.logging.log4j:log4j-api:2.14.1"
    {
        force = true 
    }

    compile "org.apache.logging.log4j:log4j-core:2.14.1"
    {
        force = true 
    }   
    compile "org.apache.logging.log4j:log4j-slf4j-impl:2.14.1"
    {
        force = true 
    }

 排除掉所有三方包依赖的log4j-api和log4j-core

检查依赖树,确保log4j引入的是最新版
通过gradle dependencies 命令确认不再依赖旧版本log4j组件
修改启动参数 增加 -Dlog4j2.formatMsgNoLookups=true
测试、验证、上线

Carl God
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Log4j2 漏洞复现及解决方案
已识乾坤大,犹怜草木青!
12-15 2743
背景 最近爆出的 apache log4j2 存在重大安全漏洞问题,当 log4j2 版本在 2.15.0 以前(2.0<=V<=2.14.1),相关应用程序或中间件如 ES、Redis 等均会受此漏洞影响。不过目前 apache 官方已经修复了此漏洞漏洞复现程序 Log4j2 lookup 漏洞复现程序 修复指南 推荐修复指南1:升级 log4j2 接口及实现版本至最新版(2.15.0) <dependencies> <!-- l...
Log4j2漏洞详解
左右为南的专栏
12-12 5965
Log4j2漏洞JDNI攻击简要代码
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
Apache Log4j2漏洞修复
水布天
12-17 3803
Apache Log4j2漏洞修复1 背景2 影响范围3 检测4 处理4.1 升级处理4.1.1 下载4.1.2 修复4.1.3 验证4.2 紧急处理5 参考 1 背景 2021年12月17日,Apache Log4j2 绝对是众多 Java 程序员提到的高频词之一:由于 Apache Log4j2 引发的严重安全漏洞,令一大批安全人员深夜修 Bug、发补丁。此次漏洞更是因为其触发简单、攻击难度低、影响人群广泛等特点,被许多媒体形容为“核弹级”漏洞。本文主要是针对漏洞修复的处理过程。 漏洞名词: CVE-2
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 1219
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4454
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Apache Log4j2漏洞复现
weixin_51151498的博客
01-23 1427
Apache Log4j2漏洞
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
log4j2-2.15.0RC2
12-17
《深入理解Log4j2-2.15.0RC2:修复安全漏洞与优化实践》 在IT行业中,日志记录系统是不可或缺的一部分,它为开发者提供了追踪程序运行状态、定位错误和性能瓶颈的重要工具。Log4j2作为Apache基金会的开源项目,是一...
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
Apache Log4j2漏洞详解及修复指南》 在网络安全领域,Apache Log4j2漏洞是一个备受关注的话题,尤其在2021年底,该漏洞的出现引发了全球范围内的广泛关注。这个漏洞,被称为CVE-2021-44228,影响了广泛使用的Java...
logging-log4j2-log4j-2.16.0-rc1.zip
12-13
这次我们关注的是"logging-log4j2-log4j-2.16.0-rc1.zip"这个压缩包,它包含了Log4j 2.16.0的Release Candidate 1版本,主要目的是修复一个严重漏洞,该漏洞可能导致远程代码执行(RCE)。 首先,我们需要了解Log4j...
log4j_2.1.5.zip
12-14
Log4j 2.1.5的发布,正是为了修复这个高危漏洞。此版本中,开发者增强了对JNDI Lookup处理的安全性,限制了非法的JNDI链接解析,防止恶意数据注入。同时,更新了配置文件,提供了默认的安全设置,比如禁用了JNDI查找...
apache-log4j-2.14.0-bin.zip
03-01
在2021年,Log4j 2曾发现一个严重漏洞(CVE-2021-44228),该漏洞允许远程代码执行。因此,保持Log4j到最新版本至关重要,以确保应用免受潜在的安全威胁。 总的来说,Apache Log4j 2.14.0是一个强大的日志工具,它...
windows热补丁Log4j2漏洞缓解工具漏洞java补丁.zip
12-16
4. **hr_log4j_fixer**:可能是另一个用于辅助修复Log4j2漏洞的脚本或程序,可能包含了更深入的静态加固措施,如修改配置文件或者替换库文件,以防止漏洞被利用。 在使用这款工具时,用户需要确保其运行环境符合...
log4j-2.15.0-rc1.zip
12-10
《深入理解Log4j 2.15.0-rc1:安全与更新指南》 在信息技术领域,日志管理是系统监控、故障排查及性能优化的重要环节。Log4j,作为Apache软件基金会的一个开源项目,是Java平台广泛应用的日志记录工具。其最新发布...
log4j所依赖jar包
11-01
随着安全问题的日益重视,Log4j的最新版本(如Log4j 2)对安全性进行了加强,修复了多个已知漏洞,因此,保持日志库的更新至关重要,以防止潜在的安全风险。 总的来说,这个压缩包为Java开发者提供了一个方便的集合...
Log4j 漏洞修复和临时补救方法
12-14 3772
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3291
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
Apache log4j2 远程命令执行漏洞复现及修复方案
杨小熊学习笔记
12-14 6433
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
Vmware产品Log4j漏洞修复指南
“VMSA-2021-0028.pdf”文件是关于VMware针对CVE-2021-44228,即著名的Apache Log4j漏洞修复方案。此漏洞影响了多个VMware产品,公司提供了临时措施以及官方说明链接,用户可以参考这些信息来保护其系统安全。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Carl God

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值