修复中间件log4j漏洞方案(直接更换漏洞jar包)

最新推荐文章于 2023-09-07 11:28:30 发布
最新推荐文章于 2023-09-07 11:28:30 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: 漏洞修复 文章标签: 中间件 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaodaima0/article/details/132665489
版权

说明:

后台服务里面的log4j漏洞我们已经全部升级处理了,但是一些中间件镜像包里的log4j漏洞需要单独处理
解决办法以ElasticSearch7.6.2为例:

方法:

(1)找到容器里面有哪些旧的log4j依赖包
(2)去官网找到对应新版本的依赖包
(3)把新的依赖包复制到和旧的同文件夹下
(4)删除旧的依赖
(5)重启容器

具体步骤:

(1)下载log4j最新的依赖包

官网上自己下,官网地址如下:
https://downloads.apache.org/logging/log4j/2.17.2/
在这里插入图片描述

(2)进入ElasticSearch容器查看log4j依赖

docker exec -it elasticsearch bash
#查找log4j*.jar文件
find / -name log4j*.jar

在这里插入图片描述

从上图得知,elasticsearch 容器有这4个log4j低版本的依赖
将新的对应的四个依赖上传到服务器,比如/home/file文件夹下
在这里插入图片描述

(3)将新的4个jar包复制到对应的docker容器文件夹下
命令格式为:

docker cp 外部文件 容器id:容器内部路径。

如下图:
在这里插入图片描述

再次进入容器查看

docker exec -it elasticsearch bash
find / -name log4j*.jar

在这里插入图片描述

现在容器里面就有两个了,log4j旧的和新的依赖都在一起
(4)删除旧的依赖
在这里插入图片描述

再次查看,只剩下新的
在这里插入图片描述

(5)重启容器即可

docker restart
快乐敲代码
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j的所有jar包
05-28
log4j的所有jar包,有需要的可以下载看一看,还是比较全的
log4j漏洞修复升级jar包log4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jar包log4j-core-2.17.0.jar)
elasticsearch log4j 漏洞修复
m0_67402235的博客
04-18 617
项目场景: ES版本 : elasticsearch-7.6.1 问题描述: 最近被曝出来Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码 数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 查了一下服务器,发现 ES 服务刚好使用了 Log4j。现在国内写的人比较少,我便记录一下 解决方案: 查询出都 ES 服务都哪些地方使用了该文件(我这里将 log4j 已经替换成了 2.15 版本,替换前的版本好像是
log4j2Scan.jar在log4j漏洞复现中的使用
最新发布
wutiangui的博客
09-07 448
不需要开启拦截,插件就可以自动检测该网站有没有log4j漏洞。装完后浏览器打开一个有log4j漏洞的网站。首先在burp中安装该插件。有+号说明发现了漏洞
Elasticsearch 解决 log4j 安全漏洞 - 升级镜像
m0_67392409的博客
04-18 613
概论 Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方已发布正式安全公告及版本,漏洞编号:CVE-2021-44228,漏洞被利用可导致服务器被入侵等危害。 公司 ES 使用 Log4j 2 组件,存在安全问题,升级 ES 镜像中的 Log4j 2 版本解决该问题。 原理 java 项目只用替换编译出来的 jar 包就可以。 快速教程 下载 log4j-core-2.16.jar 和 log4j-api-2.16.jar https://repo.maven.apache.org/m
修改/升级jar包中内嵌jar包的版本号
qq_23095607的博客
05-26 6198
参考资料: 参考文章https://blog.csdn.net/u011482647/article/details/122101243 实现原理: 根据JVM加载规则,jar包中引用的第三方jar包,和直接从pom文件或者直接导入存储的路径是一样的,就比如下面的例子: 我们引入了seata包,里面内嵌了阿里巴巴的fastJson包 然后maven仓库的存储路径是: seata包中的程序,需要fastJSON就会到com.alibaba.fastJson目录下找本项目引用的版本 ..
log4jappender配置kafka使用的jar包
09-08
3. **特定的Log4j-Kafka适配器**:为了使Log4j能够与Kafka进行通信,还需要一个中间件库,比如`log4j-kafka-appender.jar`或`log4j-appender-kafka-*.jar`,具体取决于你选择的实现。 在实际项目中,你可能需要将...
Web中间件常见漏洞总结.pdf
06-14
下面,我们将围绕文档提及的IIS中间件,总结其常见漏洞类型及修复建议。 1. IIS解析漏洞 IIS解析漏洞主要存在于IIS6.x版本中。服务器配置不当会导致解析问题,例如,当文件名包含“*”符号时,IIS服务器会忽略“*”...
web中间件常见漏洞总结.pdf
12-14
4. **文件包含漏洞**:如果Web中间件允许动态加载远程或本地文件,且没有进行严格的验证,攻击者可以通过构造特定的URL来包含并执行恶意代码。 5. **目录遍历**:此漏洞允许攻击者访问服务器上本应受保护的目录和...
web中间件常见漏洞分析
08-17
Web中间件常见漏洞分析的知识点十分丰富,下面详细介绍与IIS相关的各种漏洞,包括漏洞的类型、产生的原因、影响范围以及如何进行修复。 首先,IIS,即Internet Information Services,是微软提供的基于Windows操作...
修复log4j漏洞log4j2下载最新log4j2.16.0下载 log4j-api-2.16.0.jar
12-16
apache下载太慢,特搬到国内下载。修复log4j漏洞log4j2下载最新log4j2.16.0下载
最新版log4j.jar
03-20
最新版log4j.jar下载还有log4j的官网下载地址,最新版log4j.jar
log4j-core.jar包
08-07
log4j-core.jar包log4j-core.jar包log4j-core.jar包log4j-core.jar包log4j-core.jar包log4j-core.jar包log4j-core.jar包log4j-core.jar包
Java Log4j所需Jar包
03-02
Java Log4j 1,2 所需Jar包,一个完整的软件,日志是必不可少的。程序从开发、测试、维护、运行等环节,都需 要向控制台或文件等位置输出大量信息。这些信息的输出,在很多时候是使用 System.out.println()无法完成的。 日志信息根据用途与记录内容的不同,分为调试日志、运行日志、异常日志等。 用于日志记录的技术很多,如 jdk 的 logger 技术,apache 的 log4jlog4j2 技术等。 Log4j 的全称为 Log for java,即,专门用于 java 语言的日志记录工具。其目前有两个版 本:Log4jLog4j2。
log4j各版本jar包
02-01
log4j-1.2.12,log4j-1.2.13,log4j-1.2.14,log4j-1.2.15,log4j-1.2.16,log4j-1.2.17
.net core整合log4net的解决方案
01-02
前两天,曾经的一个同事咨询我,怎样将log4net以中间件的形式整合到core里边去。我不假思索的回答,这种问题应该有人做过吧,他说没有。于是,我去博客园搜了下,发现还真没有,全部都是传统.NET那一套,直接...
Tomcat中间件版本信息泄露
K1nney的博客
03-02 2961
中间件版本信息泄露
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值