安全部门通知Log4j又双叒叕要升级了

最新推荐文章于 2024-06-08 09:39:24 发布
最新推荐文章于 2024-06-08 09:39:24 发布
阅读量350 收藏
点赞数
文章标签: java maven 大数据 mysql 数据库
原文链接:https://mp.weixin.qq.com/s?__biz=MzI4OTU3ODk3NQ==&mid=2247501367&idx=2&sn=6117c61ed3ef2e3fb22fb5e19168d6c5&chksm=ec2f8c87db580591e7b72fe767e6013c622e290504cfd3ff4fe296337cce8f2d56646eef77a0&scene=126&&sessionid=0
版权

更多内容关注微信公众号:fullstack888

昨天早上收到安全部门的通知,Log4j又双叒叕要升级了。


升级版本

立马升级到最新版本:Log4j 2.17.0

最新 Maven 依赖:

<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.0</version>
</dependency>

c7258d8ce8da0911f10471b2a927d436.png

之前升级Log4j 2.16.0 时,已经肝了两天,把所有线上的服务器都测试和发布完成,已经此事就就此终结了,想不到过了这么几天,又爆雷了,又要开始肝了:

5fa963ed2f72a63acc0d13ea8badc0cc.png

重点

Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect 
from uncontrolled recursion from self-referential lookups. When 
the logging configuration uses a non-default Pattern Layout with
a Context Lookup (for example, $${ctx:loginId}), attackers with
control over Thread Context Map (MDC) input data can craft malicious
input data that contains a recursive lookup, resulting in a 
 StackOverflowError that will terminate the process. This is also 
 known as a DOS (Denial of Service) attack.

详情查看官网:https://logging.apache.org/log4j/2.x/

Log4j2漏洞的来龙去脉参考:从Log4j2原理、攻击和解决方案来聊聊这次全球性的Log4j2漏洞

- END -

往期回顾

简述软件架构模式

微服务下蓝绿部署、红黑部署、AB测试、灰度发布、金丝雀发布、滚动发布的概念与区别

非常详细的HTTPS分享

作为技术负责人,如何从0搭建公司后端技术栈

Apache Log4j2高危漏洞解决方案(新)

vivo AI 计算平台 kubernetes 集群弹性伸缩实践

MySQL 主键的重要度

◆如何画出一张优秀的架构图(老鸟必备)

25470f36c4c8c5477e50c61bf6232b0e.png

技术交流,请加微信: jiagou6688 ,备注:Java,拉你进架构群

qianshanding0708
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2.15.0版本的log4j安全漏洞
weixin_42008717的博客
05-17 347
并删除了无用的log4j-1.2.17.jar。已在Root的lib目录下替换新的jar包。
关于log4j安全漏洞以及版本替换的记录
凉茶冰
07-28 3320
log4j的安全漏洞是大事件,早几个月项目上的都已经打完补丁,替换了包了。简单记录下日志这块的使用。目前jdk是java8及以上,要求log4j的版本必须是2.17.1。正常SpringBoot集成的时候,先在spring-boot-starter-web依赖中排除掉spring-boot-starter-logging的依赖,然后再引入spring-boot-starter-log4j2就能用了。但是这时候默认的log4j版本太低,我们需要自己引入所需要的版本,按照如上的方式引入即可。......
推荐开源项目:Apache Log4j 2 - 从遗产到安全高效的升级之旅
最新发布
gitblog_00053的博客
06-08 705
推荐开源项目:Apache Log4j 2 - 从遗产到安全高效的升级之旅 项目地址:https://gitcode.com/apachelogging-log4j1/logging-log4j1 随着技术的飞速发展,日志管理作为软件开发中的重要环节,其工具的选择显得尤为重要。今天,我们将目光聚焦在Apache基金会下的一个关键组件——Apache Log4j 2。本文将带你了解为什么迁移到Log...
springboot中移除tomcat插件的方法
Mr_lambor的博客
10-05 1465
<dependency>    <groupId>org.springframework.boot</groupId>    <artifactId>spring-boot-starter-web</artifactId>    <!-- 从依赖信息里移除 Tomca...
elasticsearch-7.13.3 升级log4j 到log4j-2.17.1
soso的博客
04-03 1734
2、下载后解压apache-log4j-2.17.1-bin.tar.gz。log4j低版本存在严重漏洞,根据需要升级安全版本,不一定是最新。进入elasticsearch-7.13.3目录。log4j-2.17.1 jar包下载地址。5、重新启动elasticsearch服务。4、将需要升级的包拷贝到对应目录。升级需要用到截图中四个jar包。删除旧版本log4j。
记一次Log4j2漏洞处理
qq644266189的博客
12-14 1049
漏洞描述: Log4j是Apache旗下的一款Java开源日志记录工具,在Java生态圈中得到广泛应用。本次漏洞使攻击者可利用Log4j2进行跳过验证,进行远程代码执行;由于Log4j2的广泛应用于java应用中,所以该次漏洞影响非常严重。 涉及版本: Log4j2 2.0-2.14都受影响 漏洞解决: 关键:通过升级版本为安全版本,经查验安全版本为2.15.0 对于漏洞,官方紧急发布了两个安全的测试版本2.15.0-rc1与2.1...
log4j-2.17升级版本包
07-22
log4j-2.17升级版本包,包括log4j-1.2-api-2.17.1.jar、log4j-api-2.17.1.jar、log4j-core-2.17.1.jar、log4j-slf4j-impl-2.17.1.jar、log4j-web-2.17.1.jar
log4j-2.18.0
08-04
log4j-2.18.0:修复重大安全漏洞的紧急更新》 在IT领域,安全性始终是首要关注的问题。近期,一个名为“log4j2”的严重安全漏洞引发了广泛关注,它影响了所有log4j2版本,从2.0开始直到2.18.0版本之前。这个漏洞...
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 ...对于依赖Log4j2的系统而言,及时升级至该版本是保障系统安全、防范潜在风险的有效手段。因此,无论是企业还是个人开发者,都应该给予足够的重视,确保系统安全无虞。
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
【转载】二次通告--Apache log4j-2.15.0-rc1版本存在绕过风险,请广大用户尽快更新版本
jason的java世界
12-10 1088
【转载自360众测】 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。 2021年12月09日,360漏洞云监测到Apache 官方于2021年12月07日发布了log4j-2.15.0-rc1版本。经360漏洞云安全专家研...
【紧急】Apache Log4j2 远程代码执行漏洞
qq_18209847的博客
04-03 4013
0x01 漏洞背景 12月9日,监测到网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。 0x02 风险等级 严重 0x03 影响版本 受影响版本: Apache Log4j 2.x < 2.15.0-rc2 0x04 供应链影响范围: 已知受影
Log slf4j+logback配置
Heqianqian的博客
05-27 1421
一. 简单配置1.添加依赖<dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>1.7.10</version> </dependency> <dependency> <groupId>ch.qos.logback</groupId> <art
严重危害警告!Log4j 执行漏洞被公开!
yz_weixiao的博客
01-12 217
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
[Java安全]—log4j2 rce复现
Sentiment的博客
07-09 1152
自漏洞爆出已经半年多了,可当时还是个java啥都不懂的菜鸡所以也没能及时复现,现在捡起来复现下21年席卷整个安全圈的log4j2漏洞log4j 是 javaweb 的日志组件,用来记录 web日志 去指定下载文件的url 在搜索框或者搜索的 url 里面加上${jndi:ldap://127.0.0.1/test} ,log4j 会对这串代码进行表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 $ 是会被直接执行的。后面再去指定下载文件的 url,去下载我们的恶意
速度!快速临时解决Log4j惊天漏洞
Galaxy_0的博客
02-15 742
速度!快速临时解决Log4j惊天漏洞
Log4j2远程代码执行漏洞复现(cve-2021-44228)
热门推荐
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4j是Apache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
Oracle Log4j 漏洞修复及 AHF 的简单使用
JiekeXu的博客
07-31 525
作者 | JiekeXu来源 |公众号 JiekeXu DBA之路(ID: JiekeXu_IT)如需转载请联系授权 |(个人微信 ID:JiekeXu_DBA)大家好,我是 JiekeXu,很高兴又和大家见面了,今天和大家一起来看看 Oracle Log4j 漏洞修复及 AHF 的简单使用 ,欢迎点击上方蓝字“JiekeXu DBA之路”关注我的公众号,标星或置顶,更多干货第一时间到达!Log...
VMSA-2021-0028.pdf
12-13
“VMSA-2021-0028.pdf”文件是关于VMware针对CVE-2021-44228,即著名的Apache Log4j漏洞的修复方案。此漏洞影响了多个VMware产品,公司提供了临时措施以及官方说明链接,用户可以参考这些信息来保护其系统安全。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值