Apache Log4j2高危漏洞解决方案(新)

最新推荐文章于 2024-07-31 21:49:38 发布
最新推荐文章于 2024-07-31 21:49:38 发布
阅读量2.1k 收藏
点赞数
文章标签: java python 大数据 spring kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianshangding0708/article/details/121881934
版权
本文介绍了Apache Log4j2的安全漏洞,该漏洞可能导致远程代码执行。受影响的包括Spring Boot、Struts2、Solr、Druid和Flink等。目前官方建议的临时解决方案包括修改JVM参数、Log4j2配置或系统环境变量。建议关注官方更新,等待修复版本。
摘要由CSDN通过智能技术生成

更多内容关注微信公众号:fullstack888

漏洞级别

严重

影响版本

Apache Log4j 2.x < 2.15.0-rc2

影响范围

spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。此次漏洞是由阿里云安全团队向Apache官方报告的。

解决方案

目前最新的结论还是0day,官方发布的两个版本2.15.0-rc1和最新的2.15.0-rc2都被绕过,官方没有升级包可用。暂时可以通过如下三种解决方案解决该漏洞:

(1) 修改项目 jvm 参数:-Dlog4j2.formatMsgNoLookups=true

(2) 修改log4j2配置参数:log4j2.formatMsgNoLookups=True

(3)修改系统环境变量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置 为 true

注:可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。<

最低0.47元/天 解锁文章
qianshanding0708
关注
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Apache log4j2漏洞
m0_63645854的博客
06-13 601
本文介绍了log4j2的远程代码执行漏洞
SpringBoot 项目中使用Log4j2详细(避坑)
热门推荐
RyanDon的博客
09-10 5万+
以下大部分内容转载整理自https://blog.csdn.net/vbirdbest/article/details/71751835,感谢vbirdbest的相关知识分享 首先,认识一下三胞胎 log4j是apache实现的一个开源日志组件 logback同样是由log4j的作者设计完成的,拥有更好的特性,用来取代log4j的一个日志框架,是slf4j的原生实现 Log4j2是...
log4j2漏洞复现
最新发布
starhei.zxy的博客
07-31 468
Apache Log4j2 中存在 JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词 ${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行。由于 Apache Log4j2 的某些函数具有递归分析函数,因此攻击者可以直接构造恶意请求来触发远程代码执行漏洞
java屏蔽日志_java – 如何屏蔽log4j2日志消息
weixin_39743695的博客
03-02 1252
我正在使用log4j2(版本-2.5),我正在尝试编写一个消息转换器插件,它将掩盖日志消息的一些已知模式.@Plugin(name = "CustomeMasking",category = "Converter")@ConverterKeys({"m"})public class MyCustomFilteringLayout extends LogEventPatternConverter {...
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
Tom弹架构
12-12 5332
背景 近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 2001
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
Apache Log4j2 远程代码执行漏洞检测工具
12-15
使用这些检测工具,用户可以快速定位并解决Log4j2漏洞,防止恶意攻击者利用该漏洞对系统进行控制。重要的是,不仅要运行这些工具,还应结合其他安全措施,例如更到最Log4j2补丁版本,审查和加固日志配置,以及...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j2紧急缓解措施.docx
12-16
Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出现了严重的安全漏洞Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修复该漏洞,避免攻击者的攻击。 一、修改启动脚本 在启动 Java 应用程序时,添加一...
apache-log4j-2.16.0-bin.rar
12-17
"apache-log4j-2.16.0-bin.rar"便是其中一个更包,旨在为用户提供修复此漏洞解决方案。这个版本的更主要包含了以下关键改进: 1. 禁用了JNDI查找:在Log4j2 2.16.0中,所有JNDI Lookup相关的代码路径都被默认...
Log4j漏洞解决方案,亲测
weixin_42492886的博客
12-14 1万+
log4j漏洞解决方案,亲测
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4507
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Apache log4j漏洞常规修复方法
aischang
01-10 8384
一、升级官方版本(推荐) 目前Apache官方已发布最版升级包,JAVA7版本升级至log4j 2.12.4版本,JAVA8及以上版本升级至log4j 2.17.0版本,升级包中移除了对lookup功能的支持,默认禁用了JNDI方法,该方法目前已经通过我行测试确认可修复。 二、移除log4j包中JndiLookup类(可能存在未知影响) 移除log4j-core包中JndiLookup类文件,并重启服务,具体方法如下: Linux系统: zip -q -d log4j-core-*.jar ..
高危漏洞 log4j漏洞,产生原因和解决方案
qq_54088719的博客
12-12 3万+
2021年12月09日,360CERT监测发现Apache Log4j 2存在JNDI远程代码执行,漏洞等级:**严重**,漏洞评分:**9.8**。
log4j2日志漏洞解决
六月Bing的博客
12-22 3925
日志的作用 日志记录主要用来监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作;跟踪代码运行时轨迹,作为日后审计的依据;担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息。因此,对于程序员来说,日志记录非常重要。 log4j2 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞的出现,正
Log4j2 漏洞解决方案
m0_46459413的博客
12-29 519
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
Log4j 严重漏洞修最修复方案参考
Javaesandyou的博客
12-21 1万+
CVE-2021-44228,原理上是 log4j-core 代码中的 JNDI 注入漏洞。这个漏洞可以直接导致服务器被入侵,而且由于“日志”场景的特性,攻击数据可以多层传导,甚至可以威胁到纯内网的服务器。log4j 作为 Java 开发的基础公共日志类,使用范围非常广,漏洞必定影响深远,想想当年commons-collections反序列化漏洞的影响范围。 Github漏洞公告: https://github.com/advisories/GHSA-jfh8-c2jp-5v3q 影响 < 2.1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值