Log4j2又爆雷,2.16.0存在DOS风险,升级2.17.0可解决

最新推荐文章于 2024-06-23 13:39:49 发布
最新推荐文章于 2024-06-23 13:39:49 发布
阅读量934 收藏
点赞数
文章标签: java spring boot 安全
原文链接:https://www.cnblogs.com/didispace/p/15710015.html
版权

本以为,经过上周的2.16.0版本升级,Log4j2的漏洞修复工作,大家基本都要告一段落了。

万万没想到,就在周末,Log4j官方又发布了新版本:2.17.0

file

该版本主要修复安全漏洞:CVE-2021-45105

file

影响版本:2.0-alpha1 至 2.16.0(1.x用户继续忽略)

该漏洞只有当日志配置使用带有Context Lookups的非默认 Pattern Layout(例如$${ctx:loginId})时,攻击者可以通过构造包含递归查找的恶意输入数据,触发无限循环,导致 StackOverflowError,最终进程崩溃。

 扫VX 领Java资料,前端,测试,python等等资料都有

这次漏洞受影响的只有log4j-core,仅使用log4j-api的程序不需要担心。所以,大家可以通过升级log4j-core来修复该漏洞的

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>

当然,如果你是Spring Boot影响,

如果目前还不方便升级版本的话,也可以采用下面的两种方法来缓解此漏洞:

  • 在日志配置的 PatternLayout 中,用 %X、%mdc 或 %MDC 来替换 ${ctx:loginId} 或$${ctx:loginId} 等Context Lookups
  • 在使用外部数据(HTTP Header或用户输入等)的地方,删除对Context Lookups的引用(如 ${ctx:loginId} 或 $${ctx:loginId} )

好了,不多说了,大家抓紧自查下,做好必要的防护措施,争取早点睡个好觉!

 扫VX 领Java资料,前端,测试,python等等资料都有

千锋-陈.Mr
关注
Spring Boot发布2.6.2、2.5.8:升级log4j22.17.0
程序猿DD
12-22 1241
12月22日,Spring官方发布了Spring Boot 2.5.8(包括46个错误修复、文档改进和依赖项升级)和2.6.2(包括55个错误修复、文档改进和依赖项升级)。这两个版本均为缺...
没完了!刚升级 Log4j 2.16.0,又爆 DOS 攻击漏洞,升级2.17.0 可解决
Java精选
12-21 1042
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜留言必回,有问必答!每天08:15更新文章,每天进步一点点...最近的 Log4j 2 漏洞想必大家...
日志框架log4j升级log4j2
最新发布
weixin_43369198的博客
06-23 1335
在传统的日志系统中,日志的记录往往是同步进行的,这意味着每当应用程序记录一条日志时,都会直接写入到磁盘或者发送至远程日志服务器上,这个过程可能会因为磁盘I/O或网络延迟而变得相对较慢,在高并发的场景下,这类延迟可能会对应用程序的性能产生明显的影响。目前很多日志框架都已经集成了异步记录日志的功能,例如Logback自带异步日志,而本文将侧重介绍Log4j2日志框架使用Disruptor来完成异步日志的支持,使得Log4j2能够在多线程应用程序中提供更快的日志写入性能,尽可能减少对应用程序性能的影响。
Cannot resolve org.apache.logging.log4j:log4j-api:2.16.0
我从不打没有准备的仗!
11-19 2062
Cannot resolve org.apache.logging.log4j:log4j-api:2.16.0
log4j-2.17升级版本包
07-22
log4j-2.17升级版本包,包括log4j-1.2-api-2.17.1.jarlog4j-api-2.17.1.jarlog4j-core-2.17.1.jarlog4j-slf4j-impl-2.17.1.jarlog4j-web-2.17.1.jar
修复log4j漏洞log4j2下载最新log4j2.16.0下载 log4j-api-2.16.0.jar
12-16
apache下载太慢,特搬到国内下载。修复log4j漏洞log4j2下载最新log4j2.16.0下载
apache-log4j-2.17.0 核心jar
03-31
Log4j 是一个日志记录框架,Log4j 2 是对 Log4j升级,提供了重大改进,超越其前身 Log4j 1.x,并提供许多其它现代功能 ,例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。 Apache ...
Log4j2爆雷Log4j v2.17.0 横空出世
superjava_的博客
12-21 1059
Log4j2爆雷 Log4j2 这是没完没了了,栈长以为 Log4j 2.16.0 是最终终结版本了,没想到才过多久又爆雷了: 前两天栈长还说 Log4j 2.16.0 是最安全的版本,没想到这么快就又打脸了,Log4j 2.17.0 横空出世。。。 又来了。。Log4j2 这是中了新冠的毒? 这次又爆出来新的 DOS 拒绝服务攻击漏洞。。 如果你想关注和学习最新、最主流的 Java 技术,可以持续关注Java技术栈,第一时间推送。 安全漏洞:CVE-2021-45105
Log4j2 又爆出重大bug,log4j-2.17.0-rc1 紧急发布
q1472750149的博客
12-21 2372
一、框架简介 Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 二、漏洞清单 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。[漏洞链接](CVE - CVE-2021-44228 (mitre.org)) 安全公司 Praetorian 发现 2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。[
Log4j安全漏洞持续爆雷,啥时候是个头?
GTH07399的博客
03-16 331
近期工信部网络安全管理局通报称,阿里云计算有限公司(以下称:阿里云)在 11 月 24 日发现了 Log4j2 安全漏洞隐患后率先向 Apache 基金会披露了该漏洞,未及时向中国工信部通报相关信息,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位 6 个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。 根据工信部官网消息,工业和信息化部网络安全威胁和漏洞信息共享平台 12 月 9 日收到有关网络安全专业机构报告后,立即组织有关...
log4j-API-最新稳定版本log4j-1.2.17
08-11
log4j-API-最新稳定版本log4j-1.2.17 apache log4j-API-最新稳定版本log4j-1.2.17
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar
03-09
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar
log4j-api-2.3.jar
01-24
log4j 2.3版本Jar包。log4j是通过一个.properties的文件作为主配置文件的,而现在的采用的是.xml
紧急!Log4j2 再再爆雷:刚升级,又连爆 “核弹级” 远程数据泄露 ! v2.17.0 横空出世。。。...
emprere的博客
12-21 171
点击关注下方公众号,架构师全套资料 都在这里0、2T架构师学习资料干货分享上一篇:RedisJson 横空出世,性能碾压ElasticSearch 和Mongo!最近的 Log4j2 漏洞...
严重危害警告 Log4j 执行漏洞被公开
qq_53058639的博客
02-14 1200
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
log4j升级log4j2log4j2+slf4j+commons-logging+Jboss-logging(SSH项目)
github_39060174的博客
09-24 1959
Java日志 - log4j1升级log4j2,涉及commons-logging、slf4j、Jboss-logging日志组件(SSH项目) 1 前言 1. 1 问题起因 SSH框架中已集成log4j,采用log4j.preoerties配置文件的方式进行日志记录。因升级log4j2导致spring相关日志输出、单元测试运行报错等情况。因此梳理了SSH框架中涉及到的日志工具:log4j1、log4j2、commons-logging、slf4j、jboss-logging 之间的关系,以及升级中如何
Apache Log4j2漏洞
Mr.xing的博客
11-13 814
Log4j2是一个Java日志组件,被各类Java框架广泛使用,它的前身是Log4jLog4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jarlog4j-${版本号}.jarLog4j2分为2个jar包,一个是接口log4j-api-${版本号}.jar,一个是具体实现log4j-core-${版本号}.jarLog4j2的版本号目前均为2.x。Log4j的版本号均为1.x。
Log4j发布2.17.0,解决2.16.0存在DOS攻击风险
程序猿DD
12-20 1032
本以为,经过上周的2.16.0版本升级Log4j2的漏洞修复工作,大家基本都要告一段落了。 万万没想到,就在周末,Log4j官方又发布了新版本:2.17.0 该版本主要修复安全漏洞:CVE-2021-45105 影响版本:2.0-alpha1 至 2.16.0(1.x用户继续忽略) 该漏洞只有当日志配置使用带有Context Lookups的非默认 Pattern Layout(例如**$${ctx:loginId**})时,攻击者可以通过构造包含递归查找的恶意输入数据,触发无限循环,导致 Stack
java项目的log4j的1.2.17版本如何升级2.16.0,需要怎么修改配置
03-21
2. 修改项目中的log4j配置文件,将原来的1.2.17版本的配置改为2.16.0版本的配置。具体修改方式可以参考log4j官方文档。 3. 在项目中使用新版本的log4j API,替换掉原来使用的旧版本API。 需要注意的是,升级log4j...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值