我鮳,Log4j2突发重大漏洞,我们也中招了。。

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量3.8w 收藏 156
点赞数 91
分类专栏: Java进阶之路 Java程序员进阶之路 文章标签: java 安全 开发语言
本文链接:https://blog.csdn.net/qing_gee/article/details/121885927
版权
Java程序员进阶之路 同时被 2 个专栏收录
75 篇文章 414 订阅 ¥19.90 ¥99.00
订阅专栏
Java进阶之路
294 篇文章 1083 订阅
订阅专栏

长话短说吧。

相信大家已经被 Log4j2 的重大漏洞刷屏了,估计有不少小伙伴此前为了修 bug 已经累趴下了。很不幸,我的小老弟小二的 Spring Boot 项目中恰好用的就是 Log4j2,版本特喵的还是 2.14.1,在这次漏洞波及的版本范围之内。

第一时间从网上得知这个漏洞的消息后,小二吓尿了。赶紧跑过来问老王怎么解决。

老王先是给小二提供了一些临时性的建议,比如说:

JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true
log4j2.formatMsgNoLookups=True
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

此后,老王时刻关注着 Log4j2 的官网和 Spring Boot GitHub 仓库的最新消息。

Java 后端开发的小伙伴应该都知道,Log4j、SLF4J、Logback 这 3 个日志组件是一个爹——Ceki Gulcu,但 Log4j 2 却是例外,它是 Apache 基金会的产品。

所以这波超级高危漏洞的锅必须得由 Apache 来背。并且波及范围非常广,已知受影响的应用程序和组件有:

  • Spring-boot-strater-log4j2
  • Apache Solr
  • Apache Flink
  • Apache Druid

并且只要是在 Log4j 2.x <= 2.14.1 之间的版本,都将受到影响——注定被载入史册的一波 bug 啊。

目前,Log4j2 的官网已经发布了 Log4j2 2.15.0 正式版,来解决此次漏洞。

了解本专栏 订阅专栏 解锁全文
沉默王二
关注
  • 91
    点赞
  • 156
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 27
    评论
专栏目录
订阅专栏
2021年末爆发 Log4j 的史诗级Bug漏洞?5分钟教你如何手把手实现
q1472750149的博客
12-11 4584
2021年12月10日凌晨前,网上曝出了 log4j 的核弹级漏洞,这种漏洞超级高危,操作简单,利用方便,适用范围广,可以直接任意代码执行,接管你的服务器。 此处思考曝光者凌晨曝光的原因,或许选择凌晨曝光,想着无数工程师半夜起来紧急修复,让 TA 产生了变态的快感。 我知道你们是想看什么的,就是想看如何演示,不过还是先看下如何修复,提高下安全意识。 0x01. 漏洞情况 Apache Log4j2是一款优秀的Java日志框架。由于 Apache Log4j2 某些功能存在递归解析功能,攻..
log4j2Bug
weixin_50589168的博客
01-08 335
大bug 因为前几个月发生了一个大bug,Log4j2 ,代号是CVE-2021-44228,有人称简直相当于核弹级别的bug。 事实上也是如此,大部分的项目已经被查出有此bug。 至于为什么都会有,天下之大,为何你的样貌尽与我出奇的相似。 听说那个时候是半夜出现的大bug。第二天log4j也是直接发布的最新的版本来解决此bug。但是也似乎没有给出确切的答案是否已经完全修复了。 漏洞原因: log4j 提供了Lookups 机制,用于添加一些特殊值到日志中,在 Lookups 机制中,由于 JNDI
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 1011
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
Log4j2 重大漏洞与解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
司空见惯 - Log4j的大bug
guoqx的专栏
12-13 675
平时公司的电脑总是因为安全防护要求,不停打补丁、升级软件,搞来搞去的,这些后台任务会卡顿,升完级还要重启,烦得很。 这不,日积月累就把我的电脑搞残了,资源浏览器打不开,Ctrl+C / V不能用,头疼。 所以周六来公司整理电脑。 意外的是还有同事来加班,问了下,原来是出现安全漏洞,要升级公司的一些软件。 这个漏洞就是Java里用的一个非常普遍的package,log4j啊。 第一感觉,有点莫名其妙,一个日志记录的模块,开源项目,还怎么出这事呢。 对比之下,还是Linux内核的代码是不是因..
log4j2的核弹级bug排查与验证过程
lk的博客
12-11 4400
Apache Log4j2Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。问题复现过程,以及相关原理,还有修复建议如下
Apache Log4j2 远程代码执行漏洞检测工具
12-15
漏洞影响了全球大量的网络服务,因此,快速、准确地检测和修复Log4j2漏洞变得至关重要。 针对这个漏洞开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
log4j log4j2 2.15.0漏洞解决
12-10
然而,近期Log4j2曝出的重大安全漏洞(CVE-2021-44228)引发了全球关注,这个漏洞被称为“Log4Shell”,严重影响了依赖Log4j2的各类应用系统的安全性。本文将详细介绍Log4j2 2.15.0版本如何解决这一漏洞,并探讨相关...
log4j2漏洞检测工具
05-07
Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的关注。这个漏洞允许攻击者通过精心构造的日志输入执行远程代码,从而对系统造成严重威胁。为了解决这...
Log4J2源码系列(十一) - 从2.6版本影响到现在的bug, 使用JMX监控的可以看看
sweetyi的专栏
04-23 1008
Log4J2从2.6版本至今未解决的bug,配置热更新通知事件属性不正确的bug
在流行的 Java 日志库 log4j 中发现了严重的 RCE 零日漏洞
学海无涯苦作舟的博客
12-11 1356
log4j 中发现了一个严重的远程代码执行漏洞,这是一种非常流行的日志工具,被大多数行业使用。它非常严重,几乎影响到所有运行 Java 的服务器,而且很容易被利用,因此您需要尽快更新和缓解该问题。 这是如何运作的? 该漏洞由CVE-2021-44228跟踪,可能会影响几乎所有使用 的 Java 应用程序log4j,考虑到它无处不在,这是相当多的。如果您的应用程序曾经记录用户发送的字符串,则它可能容易受到攻击。就漏洞利用而言,它是今年最糟糕的漏洞之一,因为它基本上可以以某种方式针对任何运行 Java 的.
bug之log4j
z_x_1000的专栏
03-05 1014
问题描述:今儿遇到个bug:java.lang.NoSuchMethodError: org.apache.log4j.Logger.isTraceEnabled()Z 上图: 原因:应该是log包和hibernate自带包冲突了,解决方法: 删除任一一包即可。
log4j加载配置bug
侯上校
01-22 206
异常信息: log4j:ERROR setFile(null,true) call failed. java.io.FileNotFoundException: at java.io.FileOutputStream.open(Native Method) at java.io.FileOutputStream.&lt;init&gt;(FileOutputStream.java:...
关于LOG4Jbug快速解决得临时方案
xinshui1994的博客
12-15 355
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
log4j升级log4j2
IT_NQR的博客
01-27 1395
web.xml 加入 <listener> <listener-class>org.apache.logging.log4j.web.Log4jServletContextListener</listener-class> </listener> <context-param> <param-name>log4jConfiguration</param...
速度!快速临时解决Log4j惊天漏洞
Galaxy_0的博客
02-15 784
速度!快速临时解决Log4j惊天漏洞
log4j升级log4j2遇到的问题,及解决办法
三千炼心的博客
12-27 5825
一、导入包 <!-- log --> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>${slf4j.version}</version> &...
Log4j2深度解析:超越Log4j与Logback的优势
"本文介绍了Log4j2的基本概念、特性以及相对于Log4j1.x和Logback的优势,并提供了Log4j2的使用方法和配置文件的相关信息。" Log4j2作为Apache软件基金会的一个项目,是对早期Log4j1.x的重构,旨在提供更高的性能和...
评论 27
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沉默王二

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值