log4j2的漏洞修复

最新推荐文章于 2025-03-14 18:10:44 发布
最新推荐文章于 2025-03-14 18:10:44 发布
阅读量5k 收藏 2
点赞数 1
分类专栏: 运行报错调试 文章标签: apache jar 服务器 log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45761335/article/details/121911221
版权
本文介绍了Apache Log4j2的远程代码执行漏洞详情,涉及版本范围、影响组件,并提供了修复措施,包括升级版本建议、临时解决方案和注意事项,确保应用安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

log4j2的漏洞修复

简介

Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。

Apache Log4j2是Log4j的升级版本,该版本与之前的log4j1.x相比带来了显著的性能提升,并且修复一些存在于Logback中固有的问题的同时提供了很多在Logback中可用的性能提升,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

漏洞评级和影响版本

Apache Log4j 远程代码执行漏洞 严重

影响的版本范围:Apache Log4j 2.x <= 2.14.1

jdk与log4j2的版本对应关系

Log4j2.12.1是支持Java 7的最后2.x版本,Log4j2.3是支持Java 6的最后2.x版本,Log4j团队不再提供对Java 6或7的支持。

影响组件

  • srping-boot-strater-log4j2
  • ApacheSolr
  • Apache Flink
  • Apache Druid
  • Apache Struts2

修复措施

查看公司项目依赖关系

将log4j2版本升级主要涉及为log4j-core,其他包也一起升级吧。

  • log4j-1.2-api-2.15.0.jar
  • log4j-core-2.15.0.jar
  • log4j-api-2.15.0.jar
  • log4j-jcl-2.15.0.jar
  • log4j-slf4j-impl-2.15.0.jar
  • log4j-jul-2.15.0.jar
  • log4j-1.2.17.jar

下载地址

https://logging.apache.org/log4j/2.x/download.html

临时方案

  1. 设置配置参数:log4j2.formatMsgNoLookups=True
  2. 修改JVM参数:-Dlog4j2.formatMsgNoLookups=true
  3. 修改系统环境变量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
  4. 禁止 log4j2 所在服务器外连
  5. 升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上
Apache Log4j2漏洞修复方案
qq_43570767的博客
01-16 1081
Apache Log4j2 漏洞修复方案 + ESAPI
Java日志框架Log4j 2详解
a15766649633的博客
03-11 3822
这是一篇Log4j 2的详解,感兴趣的可以观看
log4j-1.2.17的jar包以及依赖包,还有一份log4j的配置文件,输出到控制台和文件夹两种配置
05-20
log4j-1.2.17的jar包以及依赖包,还有一份log4j的配置文件,输出到控制台和文件夹两种配置
再严重的 Log4j2 漏洞也伤害不了 Java
xcbeyond|疯狂源自梦想,技术成就辉煌
12-14 342
点击上方“程序猿技术大咖”,关注并选择“设为星标”回复“加群”获取入群讨论资格!作者丨Erik Costlow译者丨核子可乐李冬梅来源:https://www.infoq.cn/arti...
Log4j2漏洞实战:黑客是如何利用它的?
最新发布
gysadsadsa的博客
03-14 888
apache log4j通过定义每⼀条⽇志信息的级别能够更加细致地控制⽇志⽣成地过程,受影响地版本中存在JNDI注⼊漏洞,导致⽇志在记录⽤户输⼊地数据时,触发了注⼊漏洞,该漏洞可导致远程代码执⾏,且利⽤条件低,影响范围⼴,⼩到⽹站,⼤到可联⽹的⻋都受影响,建议使⽤了相关版本的应⽤或者插件,尽快升级修补,做好相关⽅措施,避免造成不必要的损失。log4j2Apache的⼀个java⽇志框架,我们借助它进⾏⽇志相关操作管理,然⽽在2021年末log4j2爆出了远程代码执⾏漏洞,属于严重等级的漏洞
Log4j漏洞修复方案
一颗学徒
12-13 4853
Log4j漏洞修复方案
已修改过的log4j-1.2.17.jar
11-21
使用log4j的DailyRollingFileAppender时只有一个日志文件,修改DailyRollingFileAppender源码
Log4j 远程执行漏洞 版本小于2.15.0-rc2
huofuman960209的博客
12-14 4276
公开日期:2021.12.09漏洞细节被公开 漏洞危害:高危、远程代码执行 可能的受影响应用包括但不限于如下: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Flink Apache Druid ElasticSearch flume dubbo Redis logstash kafka 影响版本 apache log4j2 2.0 -2.15.0-rc1 完整修复版本 >= 2.15.0.0 &lt.
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 在信息技术领域,日志管理是系统维护和故障排查的重要环节。Log4j作为Java平台广泛使用的日志记录框架,其性能高效、功能强大,深受开发者的青睐。然而,随着技术的发展,安全...
若依框架使用的log4j2.16.0修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在描述中,“若依框架”是一个基于Spring Boot的开源企业级快速开发平台,它也受到了Log4j漏洞的影响。因此,若依框架的用户需要及时下载并部署log4j2.16.0,以保护他们的系统免受潜在的攻击。通常,更新Log4j2...
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
日志版本-log4j2版本jar
03-07
log4j的升级版本,包含日志配置文件,要注意的是部分jar包的日志默认是log4j,需要在tomcat、jdk等其他中间件设置默认日志
log4j-1.2-api-2.13.0.jar
05-28
Apache Log4j 1.x兼容性API org.apache.logging.log4j/log4j-1.2-api/2.13.0/log4j-1.2-api-2.13.0.jar
Log4j2漏洞详解(自学)
m0_64481831的博客
03-05 2052
Log4j2Apache下的流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标,被应用于业务系统开发,用于记录程序输入输出日志信息。Log4j2Apache的日志框架,用来记录和管理日志信息的。Log4j2漏洞的原理是因为默认支持解析LDAP/RMI协议,且使用了占位符如{},并会解析里面的内容进行替换,所以攻击者就可以利用这一点构建特殊的恶意的占位符来进行攻击。
log4j2应用详解
零度的博客专栏
10-11 2181
1log4j2使用 这里采用slf4j和log4j2集成的方式。 一,所需jar包或依赖: slf4j-api log4j-api log4j-core log4j-slf4j-impl(集成包) log4j-web(web项目需要) 注意:最新的log4j2所需要的jdk版本比较高,由于这里采用的jdk1.6,所以版本最高只能使用2.3的,这里使用的具体版本如下:
关于slf4j、log4jlog4j2 以及使用log4j-1.2-apilog4j适配到log4j2上的案例
zhy1379的博客
11-18 4667
关于 关于slf4j、log4jlog4j2 等的概念,以及介绍将三方库中的 log4j1 输出的日志转接到log4j2上的方式。
【Java】配置Log4j
i_poison_Mind的博客
01-28 822
本文记录了学习廖雪峰Java教程的心得,原章节地址:https://www.liaoxuefeng.com/wiki/1252599548343744/1264739436350112#0 Log4j是一种非常流行的日志框架, 可以把日志按照配置输出到不同的位置,例如:console:输出到屏幕;file:输出到文件;socket:通过网络输出到远程计算机;jdbc:输出到数据库。 一、配置Log4j的组件 使用Log4j时,要注意Log4j是Java第三方库,需要将jar包放到要编译的.Java同一文件夹
细说log4j之概述
weixin_30849403的博客
02-04 150
log4j官网:https://logging.apache.org/ log4j目前存在2个版本:log4j 1.x 和log4j 2.x,目前官方主推2.x版本(log4j 1.x已于2015.08.05宣布停止开发,官方建议将1.x升级为2.x版本)。 log4j 1.x最后一个版本是1.2.17,详见:https://logging.apache.org/log4j/1.2/dow...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值