腾讯安全刚刚给出了Log4j2核弹级漏洞线上修复方案!紧急修复!急急急!!!...

最新推荐文章于 2024-06-08 09:39:24 发布
最新推荐文章于 2024-06-08 09:39:24 发布
阅读量419 收藏
点赞数
文章标签: java 大数据 spring 小程序 python
原文链接:https://mp.weixin.qq.com/s?__biz=MzAxNDMwMTMwMw==&mid=2247533515&idx=1&sn=dc89c9ed0e90b1d5f143622281937869&chksm=9b9762d3ace0ebc518d0b2b1fde87a792ab9acc0359c2b7053066be9fef62e9999a4c2047cf5&scene=126&&sessionid=0
版权

点击上方蓝色字体,选择“标星公众号”

优质文章,第一时间送达

60c460f34f22bad65fd93e989c20a7fc.png

关注公众号后台回复pay或mall获取实战项目资料视频
一、漏洞描述2月9日晚,Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。
因该组件使用极为广泛,利用门槛很低,危害极大,腾讯安全专家建议所有用户尽快升级到安全版本。
二、漏洞风险高危,该漏洞影响范围极广,利用门槛很低,危害极大。CVSS评分:10(最高级)
三、漏洞影响版本Apache log4j2 >= 2.0,
四、安全版本Apache log4j2 2.15.0
五、修复方案建议综合国内机构意见,目前针对Apache Log4j漏洞的主要应对方法如下:
1.Apache Log4j 官方已经发布了解决上述漏洞的安全更新,建议受影响用户尽快升级到安全版本:
安全版本:log4j-2.15.0-rc2
官方安全版本下载可以参考以下链接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2.建议对 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影响的应用及组件进行升级
六、临时缓解措施1.设置jvm参数 -Dlog4j2.formatMsgNoLookups=true。
2.设置log4j2.formatMsgNoLookups=True。
3.设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 为 true。
4.采用 rasp 对lookup的调用进行阻断。
5.采用waf对请求流量中的${jndi进行拦截。
6.禁止不必要的业务访问外网。
七、腾讯云线上修复措施腾讯云安全服务详细解决方案:
https://view.inews.qq.com/a/20211211A032S100
往期推荐
公司Java项目被反编译放到了网上,这4个方法可预防jar 被反编译!
同事把实数作为 HashMap 的key,领导发飙了...
推荐一款神仙颜值的 Redis 客户端工具
重磅:JetBrains 推出“下一代 IDE”,据说比IntelliJ IDEA 还牛逼!!
Intellij IDEA 高效使用教程来了,杠杠的...
利用注解 + 反射消除重复代码,妙!这回开眼界了...
公众号-老炮说Java
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
腾讯系6大直播解决方案!(战劲整理) (2).docx
06-18
(战劲整理) (2).docx腾讯系6大直播解决方案!(战劲整理) (2).docx腾讯系6大直播解决方案!(战劲整理) (2).docx腾讯系6大直播解决方案!(战劲整理) (2).docx腾讯系6大直播解决方案!(战劲整理) (2).docx腾讯系6大直播解决...
记一次Log4j2漏洞处理
qq644266189的博客
12-14 1051
漏洞描述: Log4j是Apache旗下的一款Java开源日志记录工具,在Java生态圈中得到广泛应用。本次漏洞使攻击者可利用Log4j2进行跳过验证,进行远程代码执行;由于Log4j2的广泛应用于java应用中,所以该次漏洞影响非常严重。 涉及版本Log4j2 2.0-2.14都受影响 漏洞解决: 关键:通过升版本安全版本,经查验安全版本为2.15.0 对于漏洞,官方紧急发布了两个安全的测试版本2.15.0-rc1与2.1...
推荐开源项目:Apache Log4j 2 - 从遗产到安全高效的升之旅
最新发布
gitblog_00053的博客
06-08 712
推荐开源项目:Apache Log4j 2 - 从遗产到安全高效的升之旅 项目地址:https://gitcode.com/apachelogging-log4j1/logging-log4j1 随着技术的飞速发展,日志管理作为软件开发中的重要环节,其工具的选择显得尤为重要。今天,我们将目光聚焦在Apache基金会下的一个关键组件——Apache Log4j 2。本文将带你了解为什么迁移到Log...
SpringBoot日志升Log4j2
天然玩家的博客
12-21 1031
Log4j2日志升:2.17.0
log4j2漏洞各大厂应对措施
小白码上飞
12-11 4729
腾讯阿里美团字节等大厂应对log4j2漏洞措施
Java框架安全篇--log4j2远程代码执行漏洞
m0_63138919的博客
04-06 1123
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
腾讯系6大直播解决方案!(战劲整理) (2).pdf
06-18
(战劲整理) (2).pdf腾讯系6大直播解决方案!(战劲整理) (2).pdf腾讯系6大直播解决方案!(战劲整理) (2).pdf腾讯系6大直播解决方案!(战劲整理) (2).pdf腾讯系6大直播解决方案!(战劲整理) (2).pdf腾讯系6大直播解决方案!...
内页的天气预报腾讯js调用插件 for Discuz!7.0.rar
07-14
在模版header.htm中加入以下语句: [removed][removed] 在discuz.htm中或任意地方需要显示... <div id="Wealth"></div> <div id="WealthSet"></div> [removed]MiniWeather.Weather.print(0,"Wealth","WealthSet");...
app线上活动策划方案.pdf
04-04
【标题】: "app线上活动策划方案.pdf" 【描述】: "app线上活动策划方案.pdf" 在当前的移动互联网环境中,app线上活动策划是至关重要的,尤其对于中小团队而言,如何以最小的成本获取最大的用户群体和市场份额是...
浮动腾讯QQ在线客服插件for Discuz! 7.2 GBK.rar
07-14
Discuz! 7.2 浮动腾讯QQ在线客服插件 插件简介:精致的网页右侧浮动的腾讯QQ在线客服,一些企业类网站经常会用到这种功能,本款不但响应鼠标动作,而且还是一个折叠菜单,支持更多内容的客服号码。
炸了..Log4j2 再爆漏洞,v2.17.1 横空出世。。。
Java技术栈,分享最主流的Java技术
12-30 670
Log4j 2.17.0 再爆雷 Log4j 1.x, Log4j 2.x, Logback 的漏洞刚告一段落,栈长本以为这件事可以在 Log4j v2.17.0 这个版本终结了,没想到。。。 就在昨天,栈长打开公众号,在《团灭!Log4j 1.x 也爆雷了。。。速速弃用!!》一文中,有小伙伴给栈长留言: WC!又来漏洞??? 栈长也去 Log4j2 官方验证了下: Log4j 又发 v2.17.1 了,Log4j v2.17.0 又有远程代码执行漏洞,加上本次的漏洞,这是 Log4j 2.x 近期爆
[ 新出漏洞篇 ] 核弹漏洞 Log4j2 RCE 漏洞爆出,开发圈苦逼,安全圈过年,你赶上了吗 ?(外行都能看懂的漏洞分析)
qq_51577576的博客
12-16 4975
Log4j2相信大家不陌生了~~~哈哈哈哈。 相信大家已经被 Log4j2 的重大漏洞刷屏了。几乎没有互联网公司幸免。 估计有不少开发的小伙伴在此前为了修 bug 已经累趴下了。 估计也有不少安全圈的大佬靠着这个漏洞买房买车了~~~ 你~~~赶上了吗? 每每出现这种重大漏洞,开发岗的大佬们---苦逼,安全岗的大佬们---过年。哈哈哈哈 今天勒,我们就来聊一下 Log4j2 到底是个什么鬼 ? Log4j远程代码执行漏洞详解 中华人民共和国网络安全法 第二十七条 任何个人和.
关于log4j安全漏洞以及版本替换的记录
凉茶冰
07-28 3373
log4j的安全漏洞是大事件,早几个月项目上的都已经打完补丁,替换了包了。简单记录下日志这块的使用。目前jdk是java8及以上,要求log4j的版本必须是2.17.1。正常SpringBoot集成的时候,先在spring-boot-starter-web依赖中排除掉spring-boot-starter-logging的依赖,然后再引入spring-boot-starter-log4j2就能用了。但是这时候默认的log4j版本太低,我们需要自己引入所需要的版本,按照如上的方式引入即可。......
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4429
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3285
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆的详细教程)
热门推荐
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
解决Apache Log4j2漏洞通用方案(最新&亲测有效)
weixin_43548310的博客
12-13 1万+
通用的Apache Log4j2漏洞最佳方案,赶紧冲冲冲!
腾讯IM后台架构演进:1.4亿在线背后的百万到亿挑战
腾讯大讲堂的一次分享中,即通平台部高技术总监icezhuang详细介绍了IM后台从早期发展到支持1.4亿用户在线的历程。这个讲座主要聚焦于IM后台的典型业务流程,特别是针对不同规模的在线用户处理能力的演进。 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值