关于近期log4j漏洞问题,自我排查以及更新log4j包的思路整理

最新推荐文章于 2024-05-20 17:16:41 发布
最新推荐文章于 2024-05-20 17:16:41 发布
阅读量3.8k 收藏 4
点赞数 1
分类专栏: java 文章标签: 安全 java web安全 log4j slf4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41419769/article/details/121904715
版权

上周log4j爆出存在严重漏洞,当我第一时间收到相关推文时,只是感觉到很严重,但是对我手头项目影响有多大、有什么影响完全不知道(是的,我是一只小菜鸟)。

正好项目上有点空闲时间,于是研究了一番。log4j漏洞在于对"${}"的字样处理时可能存在异常,如果是攻击者精心设计的数据,将触发远程代码执行漏洞。

在编写代码简单测试后,我更加理解了这一漏洞,如下图:

${java:os}可以用来输出计算机系统信息,如果项目中引用的log4j存在这一漏洞,在上图打印时,不是直接输出文字:“${java:os}”,而是输出系统信息。
如果存在上图这种情况,说明我们的项目存在此漏洞,需要处理一下。
下图是不存在漏洞的情况:

如图,log正常打印出字符串。

通常我们可以再pom.xml里查询项目引用的log4j包以及各大官方声明(链接)来判断是否需要升级log4j包。此处,我当前项目用的是slf4j+logback的方案,在pom.xml中分析发现也有log4j的包,由于无法确认是否存在漏洞,故用上文方式进行简单测试。

关于问题处理:

如果直接引用了log4j的包,改用现在最近的包即可,

如果不是直接引用,可以exclusion掉其他包引用的版本,再引用最新的包。 

 

仗剑天涯777i
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j漏洞修复升级jarlog4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jarlog4j-api-2.17.0.jar)
log4j-2.17升级版本
07-22
log4j-2.17升级版本log4j-1.2-api-2.17.1.jar、log4j-api-2.17.1.jar、log4j-core-2.17.1.jar、log4j-slf4j-impl-2.17.1.jar、log4j-web-2.17.1.jar
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教
2401_84102915的博客
04-05 677
L、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。
java 日志级别_日志排查Log4j
weixin_39557797的博客
11-28 280
背景程序开发调试中,不可缺少的便是日志管理,常用的日志管理框架有如下几种:Log4j:Apache Log4j是一个基于Java的日志记录工具。它是由Ceki Gülcü首创的,现在则是Apache软件基金会的一个项目。 Log4j是几种Java日志框架之一。Log4j 2: Apache Log4j 2是Apache开发的一款Log4j的升级产品。Commons Logging: Apache基...
关于springboot项目日志框架默认使用slf4j时是否需要处理log4j-JNDI注入漏洞的说明
qq_41419769的博客
12-16 4177
可以看到log4j-api是被log4j-to-slf4j引用的,log4j-to-slf4j是被spring-boot-starter-logging引用的,spring-boot-starter-logging是被spring-boot-starter引用的,最终的spring-boot-starter是在pom.xml中引用的 通过各种查阅资料,最终我了解到,此处默认使用slf4j+logback的方式来记录日志,并没有使用log4jlog4j2等日志框架,故不存在log4j-JNDI注入漏洞
无法打出log4j日志的问题排查
04-07
NULL 博文链接:https://hill007299.iteye.com/blog/1563482
log4j漏洞研究】log4j通过slf4j转logback
DRD
05-10 1111
log4j项目 pom.xml <properties> <maven.compiler.source>8</maven.compiler.source> <maven.compiler.target>8</maven.compiler.target> <log.version>2.14.0</log.version> <!-- jdk7升级倒2.12.
log4j漏洞修复升级jarlog4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jarlog4j-core-2.17.0.jar)
log4j漏洞修复升级jarlog4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jarlog4j-1.2-api-2.17.0.jar)
log4j漏洞本地排查小工具.zip
12-29
log4j漏洞本地排查小工具,扫描你的项目存不存在log4j漏洞
log4j2.17.2
04-14
log4j 全套jar 用于修复漏洞和替换升级log4j 全套jar 用于修复漏洞和替换升级log4j 全套jar 用于修复漏洞和替换升级log4j 全套jar 用于修复漏洞和替换升级
Apache Log4j2 漏洞解决办法
半夏_2021的博客
04-16 3445
log4j2 漏洞解决办法
高危漏洞 log4j漏洞,产生原因和解决方案
热门推荐
qq_54088719的博客
12-12 3万+
2021年12月09日,360CERT监测发现Apache Log4j 2存在JNDI远程代码执行,漏洞等级:**严重**,漏洞评分:**9.8**。
如何查看电脑中是否有Apache Log4j2
weixin_35756624的博客
02-15 916
要查看电脑中是否安装了Apache Log4j2,可以按照以下步骤进行操作: 打开命令提示符或终端窗口。 在命令提示符或终端窗口中输入以下命令:log4j2。 如果电脑中已经安装了Apache Log4j2,命令提示符或终端窗口会显示Log4j2的版本号和其他相关信息。 如果电脑中没有安装Apache Log4j2,则命令提示符或终端窗口会显示错误信息,提示Log4j2未找到或未安装。 除此之...
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 135
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 364
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件含函数,将恶意文件或代码含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 466
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
Web应用防火墙的重要性
最新发布
XRY_XIAO的博客
05-20 401
Web应用防火墙的重要性
富格林:梳理可信经验保障安全
fgl100的博客
05-13 243
通过多渠道的收集和分析找到市场的波动趋势,在根据趋势的变化进行交易。如果投资者对趋势变化没有把握的话,可以多留意正规专业的交易平台讯息,一般情况下都会给大家分享市场最新的走势变化,阅读贵金属知识课堂的文章就能够知道很多基本面消息,也能学到各种技术分析方法。富格林悉知,现货黄金被视作一种稳健的投资工具,因其对抗通货膨胀和政治不确定性的能力而备受青睐。如果处于亏损状态的时候,应该保持冷静,理性分析市场波动情况,如果亏损情况严重,应该及时离场保住自己的最大利益,重新调整心态再进场。
apache log4j漏洞如何解决
07-11
Apache log4j漏洞是一种严重的安全漏洞,可以导致攻击者对受影响的系统进行远程代码执行攻击。...总之,为了有效地解决Apache log4j漏洞,你需要及时更新log4j版本,并采取其他措施来保护受影响的系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值