Log4j2漏洞修复

最新推荐文章于 2024-10-09 20:20:19 发布
最新推荐文章于 2024-10-09 20:20:19 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: JAVA基础 文章标签: web安全 log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/running_pork/article/details/121970381
版权

文章目录

一、漏洞

近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

经有关安全团队验证,漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,建议用户尽快参考缓解方案阻止漏洞攻击。

本次远程代码执行漏洞正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记录到日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码

参考链接:https://github.com/apache/logging-log4j2

二、修复漏洞

2.1 SpringMVC项目修复

普通Spring项目 log4j2 漏洞修复,如下设置:

……
<!--排除非安全log4j包;对应的log4j包修改为2.15.0 -->
<dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-core</artifactId>
   <version>2.15.0</version>
</dependency>
<dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-api</artifactId>
   <version>2.15.0</version>
</dependency>
……

2.2 SpringBoot项目修复

SpringBoot 项目 log4j2 漏洞修复,只需如下设置:

<properties>
    <java.version>1.8</java.version>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

三、如何攻击漏洞

参考:https://blog.csdn.net/qing_gee/article/details/121885927?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link

参考博客:https://blog.csdn.net/gupaoedu_tom/article/details/121891238

http://blog.topsec.com.cn/java-jndi%E6%B3%A8%E5%85%A5%E7%9F%A5%E8%AF%86%E8%AF%A6%E8%A7%A3/

迷路的三刀流
关注
专栏目录
Apache Log4j2漏洞修复方案
qq_43570767的博客
01-16 1005
Apache Log4j2 漏洞修复方案 + ESAPI
Log4j2漏洞
qq_45455136的博客
03-08 746
Log4j2漏洞简介Log4j2介绍LDAPJNDIJNDI可访问的服务命名服务(Naming Service)JNDI命名引用注入Log4j2漏洞原理Log4j2漏洞影响Log4j2漏洞排查方法Log4j2漏洞复现Log4j2 RCE漏洞修复 Log4j2介绍 Log for Java,Apache的开源日志记录组件,使用非常广泛 基本操作 pom引入依赖 获得logger实例 logger.info() debug() error() warn() … LDAP Lightweight Direct
记一次:Apache Log4j2 漏洞复现(详细过程)
最新发布
Lisoning的博客
10-09 1320
Apache Log4j2漏洞复现及相关知识原理
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3334
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4539
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 在信息技术领域,日志管理是系统维护和故障排查的重要环节。Log4j作为Java平台广泛使用的日志记录框架,其性能高效、功能强大,深受开发者的青睐。然而,随着技术的发展,安全...
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在描述中,“若依框架”是一个基于Spring Boot的开源企业级快速开发平台,它也受到了Log4j漏洞的影响。因此,若依框架的用户需要及时下载并部署log4j2.16.0,以保护他们的系统免受潜在的攻击。通常,更新Log4j2的...
Log4j2核弹级漏洞线上修复方案!
Rookie
12-11 382
一、漏洞描述2月9日晚,Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此...
Log4J2漏洞修复方法验证及最终方案
热门推荐
dbzzcz的博客
12-14 2万+
验证代码准备: 在项目登录接口中增加类似如下代码: @PostMapping("login") public R<?> login(@RequestBody LoginBody form) { //form.getUsername()="${java:version}" logger.info("登录:{}",form.getUsername()); // 用户登录 LoginUser userInfo = sysLoginService.login(form.getUsernam
Log4j2漏洞复现&原理&补丁绕过
无问社区的博客
07-17 596
我tm都呕了,昨晚出了这个洞,在家复现半天没搞出来,然后凌晨快两点的时候成功了两次,然后又不行,然后睡了,贼jb真实。然后今天来公司随便搞了两下就成功了,唯一的变化就是换了台电脑,贼jb恐怖。经过测试就是jdk版本的问题。0x02 漏洞复现这里我一共使用了两个jdk版本8u202的情况比较特殊,其实我今天凌晨在家里用的也是8u202的版本,失败了。今天来公司也是用的8u202版本的jdk,成功了。
Log4j2高危漏洞修复
猎隼
12-11 2109
Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。 具体复现细节可以到GitHub上搜索 log4j/exp 或者log4j/poc 即可找到相关程序。 (1)影响范围 Apache Log4j <= 2.14.x (除1.x) (2)查找jar linux sudo find / -name "*log4j-*.jar" Windows 计算机 搜索 *log4j*.jar java项目依赖包搜索log4j,这里使用idea举例,展开
log4j2修复
weixin_42530835的博客
01-05 523
1. 升级到最新版本: ①Java 8 版本用户可升级至 Apache Log4j 2.16.0 版本,下载地址如下: https://logging.apache.org/log4j/2.x/download.html ②Java 7 版本用户可升级至 Apache Log4j 2.12.2 版本,下载地址如下: https://github.com/apache/logging-log4j2/releases/tag/rel%2F2.12.2 ③用户如已经根据《Apache Log4j任意代码执行
log4j2漏洞修复指南
Django的博客
12-13 2966
背景 漏洞名称: Apache Log4j 远程代码执行漏洞 漏洞等级: 严重 漏洞描述: Apache Log4j2是一款优秀且应用非常广泛的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Fli
Apache Log4j2 漏洞修复及复现
JavaPub
12-11 8441
文末漏洞细节 文章目录前言修复建议漏洞细节 前言 这几天 Apache Log4j2 远程代码执行漏洞刷屏了整个互联网行业,公司也发生了这个问题,做出了紧急修复。 介绍 相信每一个技术人都有听过这款日志框架的大名。Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 https://github.com/apache/lo
Log4j2漏洞修复:关键jar文件更新指南
资源摘要信息:"解决Apache Log4j远程代码执行漏洞log4j2部分jar文件包括log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar...此次Log4j漏洞事件应成为IT行业对供应链安全和代码库审计的警钟。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值