log4j安全漏洞fix--快速答疑处理篇。

最新推荐文章于 2024-05-03 19:24:46 发布
最新推荐文章于 2024-05-03 19:24:46 发布
阅读量3.4k 收藏 2
点赞数 1
分类专栏: 程序人生 文章标签: jar java intellij-idea 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33583322/article/details/121969379
版权

高危漏洞 log4j漏洞产生原因这里就不赘述了,这里只聊解决办法:替换jar的方式。

发现身边的开发同学在替换jar的时候遇到如下问题:
0、一定要替换吗?
1、不确定要替换那些包
2、替换后旧版jar仍存在
1、2问题答案如下:
1、简单粗暴替换<groupId>org.apache.logging.log4j</groupId>组下面的所有包
2、因为maven依赖传的导致新引入的报又依赖了旧版本log4j包。

首先我们聊下问题0,一定要替换吗?

不一定需要替换,虽然项目中引用了jar,如:

1、没有开启JNDI(在spring.properties里添加spring.jndi.ignore=true 可以禁用)
2、或者禁止应用对外访问互联网。
3、移除了JndiLookup类文件,(操作命令: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)

以上都是无害的。但是堵不如疏,没准啥时候就出幺蛾子了,有精力最好还是升级下jar包,花不了多少时间。

idea下jar升级操作方法:

1、直接查看当前项目jar包(见下图左侧)版本等比较直观。
2、进入pom文件,查看jar包依赖视图(比较方便看依赖关系和操作)
在这里插入图片描述
jar包依赖视图进入方式:右键选择下图红框处。
在这里插入图片描述

查看log4j系列版本后,如发现不符合安全漏洞要求的jar包,
进入jar包依赖视图选定该包,然后右键exclude(从当前父依赖下屏蔽此jar包,会自动更新pom文件),
然后重新引入(直接在pom文件下添加对应的最新版本jar包)。

在这里插入图片描述
注意:
log4j 下的jar包之间也会存在依赖关系,需要再次屏蔽,解决屏蔽后仍存在的问题,如下:
在这里插入图片描述
依次对所有包进行如上操作,直到替换所有旧版本log4j系列jar包。

一包大豫竹
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j漏洞 elk平台 处理方法 (logstah5.5.1)
windowsxp的部落格
03-16 667
封网结束,开始处理log4j漏洞: 方法一替换jar文件 方法二 删除jar包中的类 1.应用漏洞 替换log4j-core xxx .jar 2.es漏洞需要替换core和api 否则报错:NoSuchFieldError:EMPTY_BYTE_ARRAY 3.logstah5.5.1漏洞 采用第二种方法 zip -q -d log4j-core-2.6.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 参考官方.
log4j2 源码JNDI漏洞,脚本方式替换jar 包中的log4j2
wumingxiaozei的博客
12-14 1607
source /etc/profile # xxx包路径 RDMS_DDM_HOME=/usr/setup/ddm/work_ddm/rdms_proxy # xxxx包路径 DDM_HOME_BIGDATA=/usr/setup/ddm/work_ddm/bigdata_proxy #时间 CURRENT_DATE="`date +%Y%m%d%H%M%S`" # xxx包路径 DDM_HOME=/usr/setup/ddm/work_ddm/admin/ #关系型log4j jar替换 functi.
修复中间件log4j漏洞方案(直接更换漏洞jar包)
qiaodaima0的博客
09-04 3730
后台服务里面的log4j漏洞我们已经全部升级处理了,但是一些中间件镜像包里的log4j漏洞需要单独处理。从上图得知,elasticsearch 容器有这4个log4j低版本的依赖。将新的对应的四个依赖上传到服务器,比如/home/file文件夹下。(3)将新的4个jar包复制到对应的docker容器文件夹下。现在容器里面就有两个了,log4j旧的和新的依赖都在一起。(1)找到容器里面有哪些旧的log4j依赖包。(3)把新的依赖包复制到和旧的同文件夹下。(2)去官网找到对应新版本的依赖包。
2024年网络安全最全log4j RCE漏洞原理分析及检测_log4j 漏洞监测
最新发布
2401_84297193的博客
05-03 387
log4j支持使用表达式的形式打印日志,比如问题就在与表达式支持非常多样,其中有一个jndi就是今天的主题jdk将从url指定的路径下载一段字节流,并将其反序列化为Java对象,作为jndi返回。反序列化过程中,即会执行字节流中包含的程序。因此,如果攻击者能够控制日志打印的内容,就可以使目标服务器从攻击者指定的任意url地址下载代码字节流,攻击者在字节流中附带的代码就会在目标服务器上执行。那么问题来了,攻击者如何控制服务器上记录的日志内容呢?非常简单!大部分web服务程序都会对用户输入进行日志记录。
log4j漏洞】log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4108
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
关于log4j安全漏洞以及版本替换的记录
凉茶冰
07-28 3383
log4j安全漏洞是大事件,早几个月项目上的都已经打完补丁,替换了包了。简单记录下日志这块的使用。目前jdk是java8及以上,要求log4j的版本必须是2.17.1。正常SpringBoot集成的时候,先在spring-boot-starter-web依赖中排除掉spring-boot-starter-logging的依赖,然后再引入spring-boot-starter-log4j2就能用了。但是这时候默认的log4j版本太低,我们需要自己引入所需要的版本,按照如上的方式引入即可。......
log4j-2.18.0
08-04
log4j-2.18.0:修复重大安全漏洞的紧急更新》 在IT领域,安全性始终是首要关注的问题。近期,一个名为“log4j2”的严重安全漏洞引发了广泛关注,它影响了所有log4j2版本,从2.0开始直到2.18.0版本之前。这个漏洞...
log4j-api-2.12.4.ja和log4j-core-2.12.4.jar
04-27
此次提及的`log4j-api-2.12.4.jar`和`log4j-core-2.12.4.jar`是Log4j 2框架的两个关键组件,版本号为2.12.4,这个版本主要修复了之前版本中可能存在的安全漏洞。 **log4j-api-2.12.4.jar** 是Log4j 2框架的API模块...
log4j-core-2.15.0-rc2.jar
12-10
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)修复版本2.0.15-rc2(jar包名称仍为2.15.0,源码编译出来的)
log4j-api-2.15.0-rc2.jar
12-10
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)2.15.0-rc2版本(jar包名称仍为2.15.0,源码编译出来的)
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4jlog4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压...
在Linux服务器中将已打包好的用于部署的jar替换其中代码依赖的jar
qq_42874916的博客
12-13 1482
在Linux服务器中将已打包好的用于部署的jar替换其中代码依赖的jar包 以替换/opt/aaa/test/xxx.jar为例,将其中依赖的log4j-api-2.14.0.jar替换log4j-api-2.15.0.jar cd /opt/aaa/test mkdir temp1213 # 新建一个临时路径 cp xxx.jar ./temp1213 # 将需要替换的部署jar包复制到临时路径 cd temp1213/ jar -xvf xxx.jar # 将jar包解压 cd BOOT-
排除kafka中的log4j
GoodIdea
11-12 1447
查看kafka源码可知其显示依赖了log4j,如下图:    但是我们的系统中都是使用的logback,那么如何排除掉它呢?  首先,找到依赖log4jjar包把它排除掉,然后引入log4j-over-slf4j这个jar包即可。 &lt;dependency&gt;             &lt;groupId&gt;org.apache.kafka&lt;/groupId&gt;    ...
springboot日志集成(1):Logback & log4j2
weixin_46822085的博客
10-29 538
前言: java有许多的日志组件,比如 log4j,log4j2,logback还有java自生提供的Java Util Logging,其实在springboot中对这些组件都提供了支持,log4jlog4j2和logback都提供相应的组件支持。 一、Logback 1)在springboot中默认使用的日志工具是logback,不过在提及具体的日志工具之前要提一个名词,这个名词就是slf4j(Simple Logging Facade For Java)。 2)百度百科解释: https://.
清空运行中的jar 日志_架构师必备,带你弄清混乱的JAVA日志体系
weixin_39778668的博客
12-02 264
引言还在为弄不清commons-logging-xx.jarlog4j-xx.jar、sl4j-api-xx.jar等日志框架之间复杂的关系而感到烦恼吗?还在为如何统一系统的日志输出而感到不知所措嘛?您是否依然存在这样的烦恼。比如,要更改spring的日志输出为log4j 2,却不知该引哪些jar包,只知道去百度一下所谓的博客,照着人家复制,却无法弄懂其中的原理?不要急,不要方!本文带你们弄懂其...
一分钟掌握DUBBO
墨雨听风的博客
07-04 452
精通Dubbo——Dubbo配置文件详解2017年06月01日 22:44:35阅读数:9621依赖的jar理论上Dubbo可以只依赖JDK,不依赖于任何三方库运行,只需配置使用JDK相关实现策略。缺省依赖(系统默认)通过mvn dependency:tree &gt; dep.log命令(Eclipse或Linux命令行)分析,Dubbo缺省依赖以下三方库:[INFO] +- com.aliba...
有关于springboot项目如何删除指定(log4j)的jar
weixin_44507219的博客
12-31 3621
最近最银行项目,使用的主框架是springboot,因为springboot的自动装配机制,自动把log4jjar包导入到项目中来了,如下图: 实际上我们用的logback,并没有用到log4j,但由于最近的log4j漏洞,此jar包会对代码过审带来影响,所以最终把此log4jjar包剔除了项目。 剔除的方法很简单,我们只要在pom.xml文件里做如下配置就OK了。 因为是在导入springboot核心依赖的时候,由于springboot的...
更换线上项目的jar的依赖
qq_43450543的博客
01-13 1120
替换/opt/aaa/test/xxx.jar为例,将其中依赖的log4j-api-2.14.0.jar替换log4j-api-2.15.0.jar处理前先进行备份!!! cd /opt/aaa/test mkdir temp1213 # 新建一个临时路径 cp xxx.jar ./temp1213 # 将需要替换的部署jar包复制到临时路径 cd temp1213/ jar -xvf xxx.jar # 将jar包解压多了三个文件夹 BOOT-INF,META-I...
java 删除log4j日志_log4j配置 自动删除日志文件
weixin_42097450的博客
03-02 1362
1. 需要使用的两个包log4j-core-xx.jar log4j-api-xx.jar2. classpath为scr文件夹下必须注意.xml 文件的文件名为log4j2logs/samplemylog3. 参数说明第3行中的monitorInterval="1800"指log4j2每隔1800秒(半小时),自动监控该配置文件是否有变化,如果变化,则自动根据文件内容重新配置。5-8行...
apache log4j CVE-2021-44228漏洞怎么解决
06-03
Apache Log4j 2.x中存在一种命令注入漏洞,攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升级到最新版本 Apache Log4j 2.x发布了修复此漏洞的版本2.17.0,建议用户尽快升级到该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值