log4j2 JNDI注入漏洞问题处理

最新推荐文章于 2024-07-18 20:57:31 发布
最新推荐文章于 2024-07-18 20:57:31 发布
阅读量3.2k 收藏
点赞数
分类专栏: log4j 文章标签: log4j 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_38406526/article/details/121912354
版权
本文提供了解决Log4j2 JNDI注入漏洞的详细步骤,包括升级log4j到2.17.0、JDK版本升级、移除log4j-core依赖、删除特定class文件及添加过滤器等方法。
摘要由CSDN通过智能技术生成

继上篇文章之后,这么严重的问题,肯定也是需要立即解决的,以下为我在项目中解决的方案和步骤,仅供参考。

1、对于jdk1.8及以上版本,直接升级log4j-core和log4j-api的版本即可,最新消息,2.15.0还是存在问题,官方已经发布最新2.16.0,但是,现在又出了最新的2.17.0,建议使用2.17.0

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
    </dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.17.0</version>
</dependency>

2、对于JDK1.7版本,建议升级JDK,然后再升级log4j-core和log4j-api,因为该漏洞目前在Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响;

3、当然,因为升级JDK版本牵扯的组件比较多,审计比较复杂,经过楼主验证,JDK1.7

最低0.47元/天 解锁文章
逗神。
关注
专栏目录
解决log4j2漏洞问题升级版本到2.17.0)
weixin_54433389的博客
12-23 4624
找到项目的pom.xml文件 将log4j相关的版本全部修改为:2.17.0 查看maven中的赖是否更新成功,确定版本是2.17.0 运行项目漏洞方可解决。 <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <ve
log4j关于JNDI注入漏洞验证及修复
影子的博客
12-11 7667
log4j关于JNDI注入漏洞验证及修复一、漏洞说明二、漏洞检测方案三、影响范围四、影响组件五、彻底解决方案六、临时缓解方案七、漏洞复现八、本地编译log4j-2.15.0-rc版本方法1、下载源码2、安装JDK8、9、11。3、用idea打开源码4、修改toolchains-sample-win.xml文件的JDK安装路径5、修改maven的conf目录下的toolchains.xml文件,设置java11的安装路径6、编译安装到本地仓库 一、漏洞说明 漏洞原理官方表述:Apache Log4j2 中存在
log4j2 远程代码执行漏洞复现(CVE-2021-44228)
最新发布
m0_68045701的博客
07-18 880
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
电商系统前后端开发(Vue+Springboot)(16) - 后端搭建
一角残叶的博客
09-06 316
1 数据库和表 CREATE TABLE `t_product` ( `id` bigint(20) NOT NULL AUTO_INCREMENT, `name` varchar(36) NOT NULL, `images` varchar(256) NOT NULL, `price` bigint(20) NOT NULL, `sale_price` bigint(20) NOT NULL, `sale_point` varchar(64) NOT NULL, `type_i
tomacat升级log4j2.17.1版本,log4j2升级后还是读取log4j1怎么办解决方案
mapleqn的博客
09-07 1147
因为log4j版本有漏洞,需要升级版本。。由于这个项目年代久远,用的都是tomcat。所以升级版本以后,虽然项目能正常运行,但日志和管理台一直无法正常输出。明明改了配置,还是去读的log4j1.x的版本信息,也就是原来的配置。于是整理了一下需要改的几个点,应该能解决tomcat+log4j2问题了。
漏洞深度分析|Apache Karaf 4.2.16 存在JNDI 注入漏洞
LJQClqjc的博客
12-23 1096
棱镜七彩漏洞深度分析
log4j jndi 漏洞解决办法
fuyun996的专栏
12-16 4319
log4j jndi 漏洞解决办法
关于log4j2漏洞 jndi 注入问题
weixin_42578316的博客
12-13 584
log4j2 jar包引入 <!-- log4j2日志 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> </dependency>
log4j2 JNDI注入漏洞问题复现
逗神的博客
12-13 4697
log4j2 JNDI注入漏洞问题复现
Log4j2JNDI注入漏洞原理分析与思考
m0_69745415的博客
05-05 457
因为存在前身Log4j,而且都是Apache下的项目,不管是jar包名称还是package名称,看起来都很相似,导致有些人分不清自己用的是Log4j还是Log4j2。这里给出几个辨别方法: Log4j2分为2个jar包,一个是接口 log4j-api-版本号.jar ,一个是具体实现 log4j−core−{版本号}.jar ,一个是具体实现 log4j-core-版本号.jar ,一个是具体实现 log4j−core−{版本号}.j
Apache Log4j2 远程代码执行漏洞检测工具
12-15
然而,在2021年12月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码,对受影响的系统造成...
Log4j2 Jndi 漏洞原理解析
课嗨教育的专栏
01-01 2568
漏洞解析、复现 Log4j2的框架设计非常优秀,各种功能均是以内部插件的方式进行的扩展实现,比如我们经常在Xml中定义的<Appenders>,实际对应的则是如下的AppendersPlugin对象 而我们在Xml Appenders下所定义的<Console>实际对应的则是如下的ConsoleAppender对象 看到这里应该就知晓了,我们在配置文件中所配置的各种元素实际上对应的均是Log4j2中的各种插件对象,Xml在被解析过程当中,会将你所配置的各种元素名..
Apache Log4j2远程JNDI代码执行漏洞修复
shy_snow的专栏
12-15 3644
漏洞简介 Apache Log4j2远程代码执行漏洞 当打印的日志含有${字符串时程序会使用lookup解析要打印的字符串,执行任意远程代码,框架没有做相应的过滤导致注入。官网2021/12/13最新下载的2.15.0声明已经修复该问题Log4j – Apache Log4j Security Vulnerabilities 影响范围 Apache Log4j 2.x <=2.14.1 (官网2021/12/13最新下载的2.15.0中已经修复该问题) 修复措施 ..
关于JNDI配置以及运行报错详解
jusse的博客
07-17 3511
在介绍JNDI配置之前,先让我好好吐槽一下。先说说今天在Java社区里面逛,看到关于数据库连接池的技术已经发展到好几种了,还停留在dbcp技术的我也没脸说什么。得知现在Apache下的tomcat在7.0版本的时候已经推出了新的连接池技术-tomcatJDBC。      啥也没说,上手就开始干了。上网一搜tomcatJDBC的配置,一看一大把,瞬间心里各种感动啊。随便打开一个就跟着开始配置起来
log4j2漏洞升级遇到的坑
嘻哈熊的专栏
12-29 1659
项目场景: 最近爆发的log4j2漏洞,导致各种老旧项目的log4j2版本需要升级2.17.0 问题描述: 使用IDEA的Maven Helper插件,将log4j2的2.X版本全部屏蔽掉,然后引入2.17.0版本,结果报错显示如下信息 org/slf4j/impl/StaticLoggerBinder : Unsupported major.minor version 52.0 原因分析: 看见 version 52.0 的信息,第一反应是JDK版本不对,结果去改了pom.xm
Apache Log4j 远程代码执行漏洞的终极解决方案
clk_esunny的成长之路
03-05 475
Apache Log4j 远程代码执行漏洞终极解决方案
Apache Log4j2 lookup JNDI 注入漏洞复现及利用
Tauil的博客
07-21 1186
这时候有过有过js经验的朋友都会知道嗷,编写网站的时候一般都会使用到JNDI这个接口进行目录服务查询,而JNDI中有LDAP的类,他可以用来执行我们的恶意语句,为了方便恶意语句的回显,我们到。查看网络,重新载入一下,看看每个数据包,诶这个时候就会发现有一个数据包存在参数上传,并且URL是在另一个地址。,为什么不用那个,因为啊那个是上传系统参数的数据包,有很大的区别,感兴趣可以自己去搜一下,因为本人java也不是很精通,所以就不多嘴了。并访问,这时我们的攻击机终端就会收到新的消息,这就代表命令。.......
Log4j2安全漏洞复现及解决
Log4j2中的这个特定漏洞JNDI(Java Naming and Directory Interface)有关。JNDI是一个Java API,用于查找和访问不同类型的命名和目录服务。在Log4j2中,如果日志消息包含特定的JNDI LDAP(轻量级目录访问协议)或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值