Log4j2 又爆出重大bug,log4j-2.17.0-rc1 紧急发布

最新推荐文章于 2024-05-11 05:32:11 发布
最新推荐文章于 2024-05-11 05:32:11 发布
阅读量2.3k 收藏 1
点赞数
文章标签: java log4j2 后端 程序人生 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1472750149/article/details/122069271
版权

一、框架简介

Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。

二、漏洞清单

  1. 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。[漏洞链接](CVE - CVE-2021-44228 (mitre.org))
  2. 安全公司 Praetorian 发现 2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。[漏洞链接](Log4j 2.15.0 stills allows for exfiltration of sensitive data - Praetorian)
  3. Apache Log4j2 版本 2.0-alpha1 到 2.16.0 没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式布局(例如,$${ctx:loginId})时,控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据,导致 StackOverflowError 将终止进程。这也称为 DOS(拒绝服务)攻击。[漏洞链接](CVE - CVE-2021-45046 (mitre.org))

三、影响范围

Apache Log4j 2.x 以上

四、修复措施

建议排查Java应用是否引入log4j-api , log4j-core 两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护 。

4.1升级Apache Log4j 2所有相关应用到最新的log4j-2.17.0-rc1

升级Apache Log4j 2所有相关应用到最新的 log4

最低0.47元/天 解锁文章
Java小海.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
log4j2漏洞源码分析
weixin_45682070的博客
12-14 3531
前言: 上篇分析了jndi+ldap的利用,这两天新爆出来的漏洞log4j2中,结合恶意payload可执行远程恶意代码 影响范围:Apache Log4j 2.x < 2.15.0-rc2,而且利用难度低,利用要求少 紧急缓解措施(最好升级最新版本): (1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true (2) 修改配置log4j2.formatMsgNoLookups=True (3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISAB
Elasticsearch与最新的log4j2零日漏洞
点火三周的专栏
12-12 6973
今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!) 划重点: 我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行 测试方案: 使用
速度!快速临时解决Log4j惊天漏洞
Galaxy_0的博客
02-15 665
速度!快速临时解决Log4j惊天漏洞
2024年最全分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2,2024年最新2024年冲刺年薪40w
最新发布
2401_84544363的博客
05-11 787
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Log4j2安全漏洞
hezuchao的专栏
12-10 863
Log4j2版本2以上安全漏洞,受影响版本2.0 ≤ Apache Log4j <= 2.14.1
没完没了! Log4j 再爆新雷,2.17.0 来了
程序IT圈
12-22 457
文| 白开水不加糖出品 | OSC开源社区(ID:oschina2013)Apache Log4j 2.17.0 版本已正式发布,解决了被发现的第三个安全漏洞 CVE-2021-4510...
apache-log4j-2.17.0 核心jar包
03-31
Log4j 是一个日志记录框架,Log4j 2 是对 Log4j 的升级,提供了重大改进,超越其前身 Log4j 1.x,并提供许多其它现代功能 ,例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。 Apache ...
log4j-core-2.17.0.jar
12-22
log4j-core-2.17.0.jar
apache-log4j-2.17.0-bin.tar.gz
12-22
apache-log4j-2.17.0-bin.tar.gz
log4j-api-2.17.0.jar
12-21
log4j-api-2.17.0.jar
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4j,log4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压到maven资源库的/org/apache/logging/log4j下 log4j严重漏洞 log4j logging-log4j2-log4j-2.15.0-rc2 log4j-1.2-api-2.15.0.jar log4j-api-2.15.0.jar log4j-core-2.15.0.jar log4j-slf4j-impl-2.15.0.jar log4j-web-2.15.0.jar
log4j-core-2.17.1.jar
01-20
log4j-core-2.17.1.jar
log4j-core-2.2.jar
06-29
Spring框架资源部包,非常实用。点击上传资源即表示您确认该资源不违反资源分享的使用条款,并且您拥有该资源的所有版权或者上传资源的授权 • 您上传的资源如果因版权、使用、内容完整度 等原因被举报并通过官方审核,将扣除通过该资源获得的全部积分
log4j-2.17.1的jar包,导入即可使用
02-07
log4j的jar包,用于代码开发,记录日志等
log4j-core-2.0-rc1.jar
10-10
log4j-core-2.0-rc1.jar开发资源包 查看更多jar包,请关注联系我
Log4j2 重大漏洞与解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j的漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
漏洞列表网站
rjw的专栏
09-26 1968
国外漏洞公布(0day,exp)站点集 http://www.milw0rm.com/ http://www.frsirt.com/ http://www.derkeiler.com/ http://www.securiteam.com/ http://www.securityfocus.com/ http://www.packetstormsecurity.org/ http:
log4j2 2.17.0
08-12
回答: log4j2 2.17.0是一个日志框架的版本号。它可以通过Maven依赖来引入到项目中。根据提供的引用内容,可以使用以下依赖来引入log4j2 2.17.0版本: <dependency> <groupId>org.apache.logging.log4j...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值