记一次Log4j2漏洞处理

最新推荐文章于 2024-04-06 15:36:17 发布
最新推荐文章于 2024-04-06 15:36:17 发布
阅读量1k 收藏 3
点赞数 2
文章标签: java maven apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq644266189/article/details/121941693
版权

漏洞描述

        Log4j是Apache旗下的一款Java开源日志记录工具,在Java生态圈中得到广泛应用。本次漏洞使攻击者可利用Log4j2进行跳过验证,进行远程代码执行;由于Log4j2的广泛应用于java应用中,所以该次漏洞影响非常严重。

涉及版本:

        Log4j2 2.0-2.14都受影响

漏洞解决:

        关键:通过升级版本为安全版本,经查验安全版本为2.15.0

        对于漏洞,官方紧急发布了两个安全的测试版本2.15.0-rc1与2.15.0-rc2,下载该两个版本的jar包做替换即可,但对于项目而言,这是必须手动导入jar包,而依赖人工不是一件好事;好在随后发布了正式的2.15.0版本,于maven远程仓库能够直接作为依赖导进项目,不需要依赖人工。

        按照一般的springboot项目,对log4j的利用情况主要用到log4j/log4j2-api/log4j2-to-slf4j,其中log4j2-api与log4j2-to-slf4j皆为2.12.1版本,在漏洞涉及版本范围内,需要升级为2.15.0。需要注意的是,Springboot-starter默认导入log4j2-api与log4j2-to-slf4j,所以首先要在该依赖排除掉它们(否则可能会覆盖我们所导入的依赖),如图所示:

        然后,再添加log4j2-api与log4j2-to-slf4j的maven依赖,刷新maven即可,如图所示:

 

修复检查:

        把log4f2从2.12.1升级为2.15.0版本后,需要检查升级后的日志功能是否能正常运行,启动springboot程序,编译通过,启动过程的日志打印功能正常如初,调用相应的接口也如期得到相应正确的回应,目前暂且看来升级后的log4j2不需要做额外的调整,可以做到兼容。

Jackson丶Joe
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
log4j2漏洞检测工具
05-07
1、检测项目中是否存在log4j的漏洞 2、工作使用
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
Java框架安全篇--log4j2远程代码执行漏洞
最新发布
m0_63138919的博客
04-06 731
本文章参考网上师傅们的解题和代码审计思路,录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
Tom弹架构
12-12 5174
背景 近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2
炸了..Log4j2 再爆漏洞,v2.17.1 横空出世。。。
Java技术栈,分享最主流的Java技术
12-30 643
Log4j 2.17.0 再爆雷 Log4j 1.x, Log4j 2.x, Logback 的漏洞刚告一段落,栈长本以为这件事可以在 Log4j v2.17.0 这个版本终结了,没想到。。。 就在昨天,栈长打开公众号,在《团灭!Log4j 1.x 也爆雷了。。。速速弃用!!》一文中,有小伙伴给栈长留言: WC!又来漏洞??? 栈长也去 Log4j2 官方验证了下: Log4j 又发 v2.17.1 了,Log4j v2.17.0 又有远程代码执行漏洞,加上本次的漏洞,这是 Log4j 2.x 近期爆
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
2.15.0版本的log4j安全漏洞
weixin_42008717的博客
05-17 321
并删除了无用的log4j-1.2.17.jar。已在Root的lib目录下替换新的jar包。
关于log4j安全漏洞以及版本替换的
凉茶冰
07-28 3159
log4j的安全漏洞是大事件,早几个月项目上的都已经打完补丁,替换了包了。简单录下日志这块的使用。目前jdk是java8及以上,要求log4j的版本必须是2.17.1。正常SpringBoot集成的时候,先在spring-boot-starter-web依赖中排除掉spring-boot-starter-logging的依赖,然后再引入spring-boot-starter-log4j2就能用了。但是这时候默认的log4j版本太低,我们需要自己引入所需要的版本,按照如上的方式引入即可。......
log4j2漏洞分析,解决方案
HUI-梦苑
12-18 750
于2021年12月10日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,apache Log4j组件存在严重安全漏洞。全球大约70%的企业和网站将会受到此漏洞的影响,受到攻击,且此漏洞触发频繁、攻击难度低,因此log4j被媒体称为核弹级别漏洞
Log4j高危漏洞原理及复现
热门推荐
qq_51302564的博客
12-15 1万+
Log4j高危漏洞原理及复现 漏洞检测||复现环境 查看JDK版本,发现版本小于1.8u121 图3-7 查看JDK版本 查看log4j2版本,发现版本在2.x <= 2.14.1内 图3-8 查看log4j2版本 查看代码,发现存在log4j2相关的lookup语句 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w9LtKVys-1639577266999)(C:\Users\BLACKF~1\AppData\Local\Temp\ksohtml\wps3AFF.
Log4j2安全漏洞引起的思考
manok的专栏
01-26 671
log4j安全漏洞能够从代码级别上和软件成分分析上两个维度上进行检测。
高性能日志框架 log4j 2 之 一
G探险者的博客
01-03 1555
前言 本文是自学log4j2 ,参考阿帕奇官网,对log4j2 的官方文档翻译 Apache Log4j 2 Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了许多 Logback 中可用的改进,同时修复了 Logback 架构中的一些固有问题。 重要:安全漏洞 CVE-2021-44832 摘要:当攻击者控制配置时,Apache Log4j2 通过 JDBC Appender 容易受到 RCE 的攻击。 细节 Apache Log
最牛逼 Java 日志框架 — Log4j2,性能无敌,横扫对手.....
q1472750149的博客
11-10 701
Logback 算是JAVA 里一个老牌的日志框架,从06年开始第一个版本,迭代至今也十几年了。不过logback最近一个稳定版本还停留在 2017 年,好几年都没有更新;logback的兄弟 slf4j 最近一个稳定版也是2017年,有点凉凉的意思。 而且 logback的异步性能实在拉跨,功能简陋,配置又繁琐,远不及Apache 的新一代日志框架 - Log4j2 目前来看,Log4j2 就是王者,其他日志框架都不是对手 # Log4j2简介 Apache Log4j 2是 Lo
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
springboot中移除tomcat插件的方法
Mr_lambor的博客
10-05 1382
<dependency>    <groupId>org.springframework.boot</groupId>    <artifactId>spring-boot-starter-web</artifactId>    <!-- 从依赖信息里移除 Tomca...
Log4j2远程代码执行漏洞复现(cve-2021-44228)
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔内容Apache log4j是Apache的一个开源项目,Apache log4j 2是一个就Java的日志录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
log4j2漏洞原理
07-28
log4j2漏洞是指Apache Log4j2框架中存在的一个安全漏洞,该漏洞被称为"Log4Shell"或"CVE-2021-44228"。该漏洞的原理是由于log4j2框架在处理日志消息时,会自动解析并执行包含特定JNDI注入代码的日志消息。这意味着...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值