log4j漏洞修复(过程记录)

最新推荐文章于 2024-05-06 22:39:28 发布
最新推荐文章于 2024-05-06 22:39:28 发布
阅读量833 收藏 1
点赞数
分类专栏: 项目实战问题 文章标签: apache java 开发语言 log4j log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tian_tang_g/article/details/122234915
版权

log4j2的漏洞问题不多说,相信小伙伴们已经了解

影响版本

经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:

Apache Log4j 2.x < 2.15.0-rc2

解决方案

升级log4j版本。

处理过程

1:下载log4j-api-log4j-2.15.0-rc2.jar
2:发布到maven私服仓库。执行maven命令:

mvn deploy:deploy-file -DgroupId=org.apache.logging.log4j -DartifactId=log4j-api -Dversion=log4j-2.15.0-rc2 -Dpackaging=jar -Dfile=D:/log4j-2.15.0-rc2.jar -Durl=http://192.168.200.39:8081/repository/maven-releases/ -DrepositoryId=maven-releases
mvn deploy:deploy-file -DgroupId=org.apache.logging.log4j -DartifactId=log4j-to-slf4j -Dversion=log4j-2.15.0-rc2 -Dpackaging=jar -Dfile=D:/log4j-2.15.0-rc2.jar -Durl=http://192.168.200.39:8081/repository/maven-releases/ -DrepositoryId=maven-releases

执行install命令,本地执行成功,本地仓库jar发布成功,但deploy命令结果如下
在这里插入图片描述
原因是maven仓库权限的限制,在setting.xml文件中找到私服的账号密码,登陆上去并找到设置,如下图
在这里插入图片描述
再次执行mvn-deploy命令
在这里插入图片描述
发布到仓库成功,更新项目中的log4j版本

<dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>log4j-2.15.0-rc2</version>
            <classifier>rc2</classifier>
        </dependency>

        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>log4j-2.15.0-rc2</version>
            <classifier>rc2</classifier>
        </dependency>

另一种方案

在这里插入图片描述
在这里插入图片描述
强制更新log4j版本到2.17.1,此log4j漏洞仅为Log4j 2.x < 2.15.0-rc2中价版本,版本更新了就可以。

如有不对,欢迎指正。

唐笑田
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 在信息技术领域,日志管理是系统维护和故障排查的重要环节。Log4j作为Java平台广泛使用的日志记录框架,其性能高效、功能强大,深受开发者的青睐。然而,随着技术的发展,安全...
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Log4j 严重漏洞修最新修复方案参考
Javaesandyou的博客
12-21 1万+
CVE-2021-44228,原理上是 log4j-core 代码中的 JNDI 注入漏洞。这个漏洞可以直接导致服务器被入侵,而且由于“日志”场景的特性,攻击数据可以多层传导,甚至可以威胁到纯内网的服务器。log4j 作为 Java 开发的基础公共日志类,使用范围非常广,漏洞必定影响深远,想想当年commons-collections反序列化漏洞的影响范围。 Github漏洞公告: https://github.com/advisories/GHSA-jfh8-c2jp-5v3q 影响 < 2.1
2024年网络安全最全【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程,网络安全教程
最新发布
2401_84263282的博客
05-06 1027
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Log4j漏洞修复方案
一颗学徒
12-13 4559
Log4j漏洞修复方案
Log4j一个月内第五次漏洞:2.17.1版本修复了新的远程代码执行错误
极道Jdon的技术博客
12-29 2010
Apache 发布了另一个 Log4j 版本 2.17.1,修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞,编号为 CVE-2021-44832。在今天之前,2.17.0 是 Log4j 的最新版本,被认为是最安全的升级版本,但现在这个建议已经演变。一个月内五次Log4j CVE攻击者对原始Log4Shell 漏洞(CVE-2021-44228) 的大规模利用始于 12 月 9 日左右,当时 GitHub 上出现了针对该漏洞的PoC 漏洞利用。发现...
【Java】Log4j远程命令执行漏洞修复最新版下载
cnskylee的博客
12-16 1260
log4j最新漏洞修复、官方正式版下载
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在描述中,“若依框架”是一个基于Spring Boot的开源企业级快速开发平台,它也受到了Log4j漏洞的影响。因此,若依框架的用户需要及时下载并部署log4j2.16.0,以保护他们的系统免受潜在的攻击。通常,更新Log4j2的...
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2是Apache基金会...
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2的漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
log4j远程执行漏洞,测试源码
12-22
通常,这样的资源会包含一个可运行的示例,展示如何利用Log4j漏洞,或者帮助开发者检测其应用中的漏洞。 **Log4j远程执行漏洞详解** Log4j是Apache的一个开源日志框架,广泛用于Java应用程序,用于记录应用程序...
Log4j漏洞原理及修复
o0way0o的博客
01-01 1970
*JNDI(Java Naming and Directory Interface–Java)**命名和目录接口 是Java中为命名和目录服务提供接口的API,通过名字可知道,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其中Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中,同时可通过名字获取对象的属性同时操作属性。
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1949
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
Apache Log4j 高危漏洞缓解和修复措施
雨橙Orainge的博客
02-13 863
(3)将系统环境变量:LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true。则表示该项目引用了受影响的版本的 Log4j2,需要尽快查看项目代码,结合实际情况进行处理。2、使用 Logback 的项目,为了保险起见,心有余力还是升级以下,以防万一。如果是 maven 管理的项目,通过升级 log4j 的版本解决漏洞。对所有使用到 Log4j 组件的项目进行升级,使用最新版本。如果检查到例如下方的结果:(2
高危漏洞 log4j漏洞,产生原因和解决方案
qq_54088719的博客
12-12 3万+
2021年12月09日,360CERT监测发现Apache Log4j 2存在JNDI远程代码执行,漏洞等级:**严重**,漏洞评分:**9.8**。
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4075
spring-boot-starter-log4j2漏洞修复方式
深入解析著名的阿里云Log4j 漏洞
悦分享
07-24 3369
ApacheLog4j是一个基于。
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3279
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
apache log4j漏洞
07-29
对于Apache Log4j漏洞,我可以提供一些相关信息。Apache Log4j是一个开源日志管理工具,用于在Java应用程序中记录和管理日志。然而,最近发现了一个安全漏洞,称为CVE-2021-44228(也被称为Log4Shell)。 该漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值