解决Apache Log4j版本漏洞(版本升级)

最新推荐文章于 2024-06-15 13:09:49 发布
最新推荐文章于 2024-06-15 13:09:49 发布
阅读量4.6k 收藏 4
点赞数 5
分类专栏: 问题 文章标签: apache maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45752401/article/details/121919427
版权

近日,Apache Log4j2 的远程代码执行漏洞刷爆网络,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,Apache Log4j2可是全民级的日志组件,百分之九十的项目,都是通过log4j2输出日志的,甚至BAT大厂也是如此,很多互联网企业也都连夜做了应急措施

在这里插入图片描述

临时解决方案

设置jvm参数

-Dlog4j2.formatMsgNoLookups=true

日志设置:

log4j2.formatMsgNoLookups=true

设置系统环境变量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

直接加入新的版本依赖
           <!-- Log4j2惊爆0Day漏洞-->
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
                <version>2.15.0</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-to-slf4j</artifactId>
                <version>2.15.0</version>
            </dependency>

本次以IDEA为例
首先找到自己项目有没有这个依赖,我这里作为演示(肯定是有的)

在这里插入图片描述

在这里插入图片描述

现在的版本是2.11.2,是存在系统漏洞,我们需要升级到2.15.0

1,在idea右侧找maven,打开show Dependencied

在这里插入图片描述

如果没有,可以点击最上方的菜单栏的view -->Tool Windows --> maven

在这里插入图片描述
2,打开show dependencies后,弹出的界面展示了你项目所有的依赖(在查找jar包冲突时也会使用)

在这里插入图片描述
3,在这个界面搜索(ctrl+F)log4j,选择一个搜索

在这里插入图片描述

在这里插入图片描述
4,然后右键点击log4j-to-slf4j,弹出界面选择jump to source即可进入pom文件

在这里插入图片描述

在这里插入图片描述
进入到pom文件后,还需要继续寻找,因为它上级还有,可以看到有个小蓝标,点击它

在这里插入图片描述
在这个pom文件里面,没有上级依赖了(没有小蓝标)我们更改这里面的版本号即可

修改前:
在这里插入图片描述
修改后:

修改版本,点击maven小圈圈进行刷新,我们的版本就更改过来了
在这里插入图片描述

子非我鱼
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Apache Log4j2高危漏洞解决方案(新)
qianshanding0708的博客
12-11 2167
更多内容关注微信公众号:fullstack888漏洞级别严重影响版本Apache Log4j 2.x < 2.15.0-rc2影响范围spring-boot-starter-log4...
Java笔记---Log4j的两个版本
liu_chenglong的博客
08-28 2818
Java笔记—Log4j的两个版本 官网地址:http://logging.apache.org/log4j/2.x/ 、 http://logging.apache.org/log4j/1.2/ 使用log4j的优势: 1、可以有6中不同级别的信息打印方式 2、可以选择多种打印输出源 –> console(控制台)/file(文件)/email(邮件)… 3、打印时可以丰富打印信息 Log4j2.x性能较log4j1.x在某种程度上提升了10倍: 本文时间:2020-08-28 0
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j日志漏洞问题
feinifi的博客
11-16 4001
log4j远程漏洞复现以及对这个漏洞问题的看法。
又被漏洞追着跑?log4j2升级到 2.23.1 操作流程
最新发布
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
06-15 430
Java 用第三方开源包,免不了被漏洞追着跑,几乎每年都要对最新爆出的漏洞组件进行升级,今年要升级的是 log4j2 和 nacos,升级到最新版本。额外补充一下我在将某项目从 log4j 升级到 log4j2 的过程中碰到的一个小问题,log4j.properties 中引用环境变量的方法是。门面包版本包不匹配时,日志直接被忽略了,别问我怎么知道的,这是我画蛇添足把这个包升级到 2.0.5 后得出的教训。,但是对于 log4j2.xml 配置文件中,这个方式不生效了,而是用 ${sys:系统变量}
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 9909
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
Java 日志框架 Log4J
追寻心的步伐
01-17 903
Log4JApache开源项目,通过使用Log4J,我们可以控制日志信息输送的目的地是控制台、文件、数据库等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。将自定义配置文件放置到resource目录下。
2.Log4j漏洞修复及版本号升级
苏秋远的博客
08-02 2559
Log4j漏洞修复、依赖版本号升级
apache-log4j-2.16.0-bin.rar
12-17
总之,Apache Log4j2的这个远程代码执行漏洞是一个严重的安全问题,及时升级到2.16.0或更高版本是保护系统免受攻击的关键。企业应当制定并实施有效的安全策略,包括定期更新软件组件,监控系统日志以检测异常行为,...
apache-log4j-2.17.0 核心jar包
03-31
Log4j 是一个日志记录框架,Log4j 2 是对 Log4j 的升级,提供了重大改进,超越其前身 Log4j 1.x,并提供...Log4j 团队已获悉一个安全漏洞 CVE-2021-45105,该漏洞已在 Java 8 及更高版本Log4j 2.17.0 中得到解决
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
总的来说,Apache Log4j2漏洞解决需要综合考虑升级、配置修改和安全监控等多个方面。对于开发者和运维人员来说,理解漏洞的原理并采取有效的应对措施至关重要,以防止潜在的攻击并保护系统的安全性。通过及时修复...
log4j2版本漏洞 修复版本2.15.0
12-17
1. 下载新版本:从Apache官方网站获取log4j-core-2.15.0.jar、log4j-api-2.15.0.jar和log4j-web-2.15.0.jar这三个文件,这是Log4j2的核心组件和Web应用支持。 2. 替换旧版本:找到项目中依赖的Log4j2旧版本文件,将...
log4j从1.x平滑升级至2.x
weixin_43872895的博客
12-17 5112
log4j从1.x平滑升级至2.x
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Apache Log4j漏洞解决log4j版本升级2.15.0
热门推荐
Java码农杂谈
12-17 1万+
文章目录前言一、查看当前log4j版本二、升级log4j版本 前言    log4j发生了巨大漏洞,可以在远程直接在服务器上执行多种操作,被戏称log4shell,众多公司面临解决log4j漏洞问题,本文主要介绍log4j升级版本相关 一、查看当前log4j版本 首先需要确认下当前项目是否引入了log4j?引入的log4j版本是多少?有些项目可能没有直接引入,但引入的其他组件中使用了log4j,所以需要仔细排查一下! 这里,我们可以使用IDEA编译器带的maven s.
log4j版本升级
qq_41525524的博客
07-21 460
【代码】log4j版本升级
apache log4j2漏洞攻防演练与补丁升级说明
lifetragedy的专栏
12-14 6029
log4j2的漏洞没有大家想像的那么可怕,全文演示了这个漏洞即不可怕也可怕的原因以及有漏洞时的攻击效果和升级完后攻击无效是怎么样的效果,用以帮助大家如何验证升级后的log4j2是否有效的目的。
Log4j 任意代码执行漏洞,组件升级
Xzh_java的博客
11-30 275
任意代码执行2021 年 12 月 9 日,该项目被曝存在 严重安全漏洞 ,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码来控制目标机器!Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
严重危害警告 Log4j 执行漏洞被公开
qq_53058639的博客
02-14 1132
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
apache log4j2漏洞
01-13
目前,Apache Log4j2的开发团队已经发布了修复此漏洞的补丁,并建议所有受影响的用户尽快升级到最新版本。此外,还可以通过配置Log4j2的安全策略来限制日志消息的解析和执行,以减轻此漏洞的风险。 如果你想了解更...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

子非我鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值