Apache Log4j2漏洞修复方案

最新推荐文章于 2024-05-11 04:48:07 发布
最新推荐文章于 2024-05-11 04:48:07 发布
阅读量926 收藏
点赞数
分类专栏: project 文章标签: apache log4j2 log4j spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43570767/article/details/122522168
版权

之前因为Log4j的漏洞,所有的项目都需要升级到Log4j v2.17.1以上。

项目原有环境 : spring boot 1.5.2 release + log4j 1.2.17

整体的改进思路 : 

1.exclude掉现有jar包中引用的log4j

可以使用idea或者eclipse中自带的工具,一键exclude。得到的结果如下图所示。

因为项目中用到了ESAPI,而ESAPI其中包括log4j,所以我也统一把log4j相关的一起exclude

        <dependency>
		    <groupId>org.owasp.esapi</groupId>
		    <artifactId>esapi</artifactId>
		    <version>2.2.3.1</version>
		    <exclusions>
		    	<exclusion>
		    		<groupId>log4j</groupId>
		    		<artifactId>log4j</artifactId>
		    	</exclusion>
		    </exclusions>
		</dependency>

2. 再引用最新版本的log4j依赖,如下

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
		<dependency>
			<groupId>org.apache.logging.log4j</groupId>
			<artifactId>log4j-core</artifactId>
			<version>2.17.1</version>
			<exclusions>
				<exclusion>
					<groupId>org.apache.logging.log4j</groupId>
					<artifactId>log4j-api</artifactId>
				</exclusion>
			</exclusions>
		</dependency>

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-slf4j-impl -->
		<dependency>
			<groupId>org.apache.logging.log4j</groupId>
			<artifactId>log4j-slf4j-impl</artifactId>
			<version>2.17.1</version>
			<scope>test</scope>
		</dependency>

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
		<dependency>
			<groupId>org.apache.logging.log4j</groupId>
			<artifactId>log4j-api</artifactId>
			<version>2.17.1</version>
		</dependency>

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-1.2-api -->
		<dependency>
			<groupId>org.apache.logging.log4j</groupId>
			<artifactId>log4j-1.2-api</artifactId>
			<version>2.17.1</version>
			<scope>compile</scope>
			<exclusions>
				<exclusion>
					<groupId>org.apache.logging.log4j</groupId>
					<artifactId>log4j-api</artifactId>
				</exclusion>
			</exclusions>
		</dependency>

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-jcl -->
		<dependency>
			<groupId>org.apache.logging.log4j</groupId>
			<artifactId>log4j-jcl</artifactId>
			<version>2.17.1</version>
			<exclusions>
				<exclusion>
					<groupId>org.apache.logging.log4j</groupId>
					<artifactId>log4j-api</artifactId>
				</exclusion>
			</exclusions>
		</dependency>

为什么在引入的依赖中也有exclude log4j呢?

因为我发现只是单单引入依赖的话,也会下载其他版本的log4j相关依赖,所以索性全都exclude,一了百了。如果后续还有其他更好的办法,还可以试试其他。

关于ESAPI的小tips:

更新到log4j2.X之后,esapi的配置文件也需要做出相应的改变。

更改过的配置文件如下:

ESAPI.Logger = org.owasp.esapi.logging.log4j.Log4JLogFactory
Logger.LogEncodingRequired=false
Logger.UserInfo=false
Logger.ClientInfo=false

Maven repository:

https://mvnrepository.com/

LiarParadox
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Log4j 漏洞修复和临时补救方法
12-14 3755
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
Apache Log4j2漏洞复现
MoCoCN的博客
12-22 2915
0x00 前言 慢慢的距离上次写文章已过去了377天,这一年发生了好多好多的事,经历了好多好多的变故,或喜或悲、或分或合、起起落落,整整的一年了得,没怎么好好学习,没怎么认真的钻研技术,对自己表示很抱歉,违背了“白帽守则”,让我们重温一下“白帽守则”: 白帽守则第一页第一条,心中无女人,挖洞自然神。 白帽守则第一页第二条,只有不努力的白帽,没有挖不到的漏洞 对此我深表歉意、望大家以我为戒,踏踏实实的深入贯彻落实“白帽守则”,切实维护祖国网络空间安全。 0x01漏洞描述 Apache Log4j2是一款优秀的
Apache Log4j2漏洞修复
水布天
12-17 3780
Apache Log4j2漏洞修复1 背景2 影响范围3 检测4 处理4.1 升级处理4.1.1 下载4.1.2 修复4.1.3 验证4.2 紧急处理5 参考 1 背景 2021年12月17日,Apache Log4j2 绝对是众多 Java 程序员提到的高频词之一:由于 Apache Log4j2 引发的严重安全漏洞,令一大批安全人员深夜修 Bug、发补丁。此次漏洞更是因为其触发简单、攻击难度低、影响人群广泛等特点,被许多媒体形容为“核弹级”漏洞。本文主要是针对漏洞修复的处理过程。 漏洞名词: CVE-2
2024年最全【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程,小白看完都学会了
最新发布
2401_84520026的博客
05-11 780
漏洞描述| 事件 | 描述 || — | — || 漏洞名称 | Apache Log4j 远程代码执行漏洞 || 漏洞类型 | 代码执行 || 风险等级 | 严重 || 公开状态 | 已发现 || 在野利用 | 已发现 || 漏洞描述 | Apache Log4j2 是一款优秀的 Java 日志框架。该日志框架被大量用于业务系统开发,用来记录日志信息。
Apache log4j2 远程命令执行漏洞复现及修复方案
杨小熊学习笔记
12-14 6399
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
Apache Log4j2 漏洞详谈
infosec的博客
12-16 5772
源于Apache Log4j2这个漏洞的描述很多,也有很多的解法。开这个博的目的就是想分析一下漏洞具体是如何被利用的,这个大黑锅下面都有哪些坑。 最近由阿里安全团队爆出来的Apache Log4j2漏洞,可以说是霸占了大部分网安人的朋友圈。同时一张热图也被传来传去,就是下面这个图片。 由于Apache Log4j2组件应用的普及性,导致了大部分的应用都受到波及。同时我们也需要知道并不是所有的log功能都是通过Apache Log4j2来实现的,其实我们还有很多选择。众所周知Log4j2Apache 家的
apache-log4j-2.16.0-bin.rar
12-17
"apache-log4j-2.16.0-bin.rar"便是其中一个更新包,旨在为用户提供修复漏洞的解决方案。这个版本的更新主要包含了以下关键改进: 1. 禁用了JNDI查找:在Log4j2 2.16.0中,所有JNDI Lookup相关的代码路径都被默认...
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2Apache基金会...
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
log4j2 2021最新版本.rar
12-14
标题"Log4j2 2021最新版本.rar"指的是Apache Log4j2框架的2021年发布的最新版本,通常这种更新可能包含安全修复、性能优化或新功能。描述中提到的"log4j2最新2.16.jar包"是指Log4j2框架的2.16版本的JAR文件,它是...
Apache Log4j 漏洞修复
weixin_43354218的博客
12-19 514
Log4j 漏洞修复 文章目录Log4j 漏洞修复1、漏洞介绍2、漏洞修复2.1 1.升级Log4j版本2.2 配置启动参数 1、漏洞介绍 Apache Log4j2 是一款优秀的 Java 日志框架,Log4j 2.x – 2.14.0 版本 Lookup 基于 JNDI(Java Naming and Directory Interface),而 JNDI 支持 RMI ( Remote Method Invocation )。这导致在打印用户输入特定文本时可能远程调用任意代码在本地执行。 2、漏洞
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复
2401_84102915的博客
04-05 713
L、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 6274
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4413
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
apache log4j2漏洞
01-13
目前,Apache Log4j2的开发团队已经发布了修复漏洞的补丁,并建议所有受影响的用户尽快升级到最新版本。此外,还可以通过配置Log4j2的安全策略来限制日志消息的解析和执行,以减轻此漏洞的风险。 如果你想了解更...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值