Log4j的重大漏洞,必须升级到2.16.0漏洞才能完全解除

最新推荐文章于 2024-02-26 16:11:58 发布
最新推荐文章于 2024-02-26 16:11:58 发布
阅读量5k 收藏 3
点赞数 2
分类专栏: 沐白杂记(Java) Spring 文章标签: 安全 apache java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38584262/article/details/121948831
版权

在这里插入图片描述

0.先说解决办法

Apache-log4j必须升级到2.16.0

1.漏洞来龙去脉

Log4j的重大漏洞,相信关注的同学们都知道是怎么回事了,对于不知道的同学们我在这里简单的插播一下内容:

Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。
该日志框架被大量用于业务系统开发,用来记录日志信息。
在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊
的数据请求包,最终触发远程代码执行。
该漏洞危害等级:严重
影响范围:2.0 <= Apache log4j2 <= 2.14.1

演示:

1、新建一个maven 项目

2、添加如下依赖

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.14.0</version>
</dependency>

3、编写 Java 代码

public class Log4jErrorTest {

    private static final Logger logger = LogManager.getLogger();

    public static void main(String[] args) {
        // 注意这个变量
        String error = "${java:vm}";
        logger.error("==============Log4jErrorInfo,{}", error);
    }

}

4、结果
在这里插入图片描述
以上代码演示过程参考 Log4j重大漏洞、看看我怎么重现与解决
5、解决办法
因为太简单就不自己尝试了,说主要问题,上述文章中给出了两种解决办法(同时我看了其他文章也大概都是这两个方法)。

方法一:排除掉log4j的依赖
方法二:升级版本,直接升到 2.15.0 版本

第一种方法无可厚非,简单粗暴,根子上解决了,但是如果有日志打印就绕不开依赖(专指log4j),那么第二种方法就稳了吗,其实不然。

真正解决漏洞的方法

Apache log4j升级到2.16.0,该版本默认禁用了JNDI并删除了消息查找功能。2.15.0版本仍有可能存在漏洞,虽然修复了JNDI的漏洞,但是其他的漏洞,可能会导致DOS(但不是RCE)。
官网解释如下:
在这里插入图片描述

Log4j2 又爆出重大bug,log4j-2.17.0-rc1 紧急发布
q1472750149的博客
12-21 2423
一、框架简介 Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 二、漏洞清单 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。[漏洞链接](CVE - CVE-2021-44228 (mitre.org)) 安全公司 Praetorian 发现 2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。[
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
在流行的 Java 日志库 log4j 中发现了严重的 RCE 零日漏洞
学海无涯苦作舟的博客
12-11 1395
log4j 中发现了一个严重的远程代码执行漏洞,这是一种非常流行的日志工具,被大多数行业使用。它非常严重,几乎影响到所有运行 Java 的服务器,而且很容易被利用,因此您需要尽快更新和缓解该问题。 这是如何运作的? 该漏洞由CVE-2021-44228跟踪,可能会影响几乎所有使用 的 Java 应用程序log4j,考虑到它无处不在,这是相当多的。如果您的应用程序曾经记录用户发送的字符串,则它可能容易受到攻击。就漏洞利用而言,它是今年最糟糕的漏洞之一,因为它基本上可以以某种方式针对任何运行 Java.
有了这个网络安全面试题,面试就像开了挂!(附PDF)
最新发布
lvaolan的博客
02-26 1506
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
apache log4j漏洞升级
sunyiyuan1213的博客
12-20 770
apache log4j漏洞升级
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 1万+
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
司空见惯 - Log4j的大bug
guoqx的专栏
12-13 730
平时公司的电脑总是因为安全防护要求,不停打补丁、升级软件,搞来搞去的,这些后台任务会卡顿,升完级还要重启,烦得很。 这不,日积月累就把我的电脑搞残了,资源浏览器打不开,Ctrl+C / V不能用,头疼。 所以周六来公司整理电脑。 意外的是还有同事来加班,问了下,原来是出现安全漏洞,要升级公司的一些软件。 这个漏洞就是Java里用的一个非常普遍的package,log4j啊。 第一感觉,有点莫名其妙,一个日志记录的模块,开源项目,还怎么出这事呢。 对比之下,还是Linux内核的代码是不是因..
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
对于使用Log4j2的若依框架或者其他任何依赖Log4j2的项目,升级2.16.0或更高版本是至关重要的,因为不进行更新可能会使系统暴露在严重的安全风险之下。 在描述中,“若依框架”是一个基于Spring Boot的开源企业级...
修复log4j漏洞log4j2下载最新log4j2.16.0下载 log4j-api-2.16.0.jar
12-16
apache下载太慢,特搬到国内下载。修复log4j漏洞log4j2下载最新log4j2.16.0下载
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j2漏洞补丁log4j2.15-rc2 log4j2.16.0.zip
12-14
《深入理解Log4j2漏洞与补丁:从log4j2.15-rc2log4j2.16.0》 在信息化高度发达的今天,软件安全问题日益凸显,其中Java日志框架Log4j2的严重安全漏洞引起了广泛关注。本文将详细解析Log4j2漏洞的本质,探讨其影响...
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
apache-log4j-2.16.0-bin.rar
12-17
总之,Apache Log4j2的这个远程代码执行漏洞是一个严重的安全问题,及时升级2.16.0或更高版本是保护系统免受攻击的关键。企业应当制定并实施有效的安全策略,包括定期更新软件组件,监控系统日志以检测异常行为,...
Log4j 任意代码执行漏洞,组件升级
Xzh_java的博客
11-30 352
任意代码执行2021 年 12 月 9 日,该项目被曝存在 严重安全漏洞 ,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码来控制目标机器!Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
Log4j漏洞补救 Log4j2 + SLF4j 升级到最新版本
zhaofuqiangmycomm的博客
01-26 1万+
原创:Log4j2 + SLF4j打造日志系统 - 云+社区 - 腾讯云 2019-01-15阅读2.3K0 目录 一:前言 二:添加依赖 2.1:去除直接和间接依赖的log4j1和SLF4j 2.2:添加依赖 三:xml配置 3.1:log4j2.xml常用demo 3.2:demo的优点 3.3:内容详解 3.4:demo变形 3.4.1:同步打印日志 3.4.2:全部异步打印日志 3.4.3:混合模式打印日志 四:其他 4.1:Log日.
(二)log4j漏洞es升级
qq_33684240的博客
02-11 1675
为了防止es中的log4j漏洞,现将es系统升级一下
解决Apache Log4j版本漏洞(版本升级
qq_45752401的博客
12-14 4919
近日,Apache Log4j2 的远程代码执行漏洞刷爆网络,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,Apache Log4j2可是全民级的日志组件,百分之九十的项目,都是通过log4j2输出日志的,甚至BAT大厂也是如此,很多互联网企业也都连夜做了应急措施 本次以IDEA为例 1,在idea右侧找maven,如果没有,可以点击最上方的菜单栏的view -->Tool Windows --> maven ...
Apache Log4j漏洞解决,log4j版本升级2.15.0
热门推荐
Java码农杂谈
12-17 1万+
文章目录前言一、查看当前log4j版本二、升级log4j版本 前言    log4j发生了巨大漏洞,可以在远程直接在服务器上执行多种操作,被戏称log4shell,众多公司面临解决log4j漏洞问题,本文主要介绍log4j升级版本相关 一、查看当前log4j版本 首先需要确认下当前项目是否引入了log4j?引入的log4j版本是多少?有些项目可能没有直接引入,但引入的其他组件中使用了log4j,所以需要仔细排查一下! 这里,我们可以使用IDEA编译器带的maven s.
Log4j2突发重大漏洞,我们也中招了
dean1966的博客
12-11 803
原文作者:沉默王二 相信大家已经被 Log4j2 的重大漏洞刷屏了,估计有不少小伙伴此前为了修 bug 已经累趴下了。很不幸,我的小老弟小二的 Spring Boot 项目中恰好用的就是 Log4j2,版本特喵的还是 2.14.1,在这次漏洞波及的版本范围之内。第一时间从网上得知这个漏洞的消息后,小二吓尿了。赶紧跑过来问老王怎么解决。老王先是给小二提供了一些临时性的建议,比如说: JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true log4j2.formatMsgNoLook
Apache Log4j 2.16.0远程代码执行漏洞紧急修复升级
资源摘要信息:"Apache Log4j 2.16.0版本是一个重要的安全更新版本,该版本针对之前版本中存在的一个严重的远程代码执行(RCE)漏洞进行了修复。Apache Log4j是一个广泛使用的Java日志记录库,该库被大量应用程序用于...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Champion-Dai

你的鼓励将是我创作最大的动力,

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值