快速应对Apache Log4j2 — 国产安全厂商方案(建议)速览

最新推荐文章于 2022-02-04 12:25:52 发布
最新推荐文章于 2022-02-04 12:25:52 发布
阅读量210 收藏
点赞数
分类专栏: Spring java 文章标签: 安全 apache web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tian_yan71/article/details/121900555
版权
java 同时被 2 个专栏收录
23 篇文章 0 订阅
订阅专栏
Spring
9 篇文章 0 订阅
订阅专栏

2021年12月9日晚,多家安全厂商监测到Apache Log4j2存在任意代码执行漏洞,受影响版本为2.0 ≤ Apache Log4j <= 2.14.1,攻击者可以利用此漏洞在目标服务器上执行任意代码。

日志记录是应用程序的基础组件,在许多开源组件中都有应用,例如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,利用这些开源组件开发的WEB应用,数据处理平台、高性能查询分析引擎以及分布式存储系统等,其安全性会受到该漏洞的影响。不过Log4j2上出现远程代码执行的高危漏洞不是首次,早在2017年就有反序列化漏洞曝出,黑客可以在目标服务上执行任意代码。但本次发现的漏洞,综合评估利用难度低,利用要求少,涉及用户量巨大,因此,攻击者很容易使用该漏洞实施非法活动,并可能造成较为严重的危害。

官方修补建议

目前,官方暂未发布正式更新版本,但已给出应急方案:

1、及时更新对应临时补丁:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、若无法更新,可采取以下缓解措施:

  • 修改jvm参数:

    Dlog4j2.formatMsgNoLookups=true

  • 修改配置:

    log4j2.formatMsgNoLookups=True

  • 将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为 true

3、建议开发人员排查Java应用是否引入log4j-api,log4j-core两个jar,评估可能的威胁状态。

积水潭坛主
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Log4j2危情分析|开源软件安全、软件供应链安全与DevSecOps实践已刻不容缓
tcsecXD的博客
12-29 2859
Log4j2危情分析之浅谈开源软件安全、软件供应链安全与DevSecOps实践
lo4j2 漏洞复现过程及解决方案
javagty6778的博客
01-11 328
操作系统:macos Catalinajdk 版本:11.0.9.1log4j2 版本:2.13.3(使用 springboot 2.3.2.RELEASE 间接依赖)引用公众号:“小林 coding” 的一张图:但如果你的日志中包含 “${” 开头,“” 结尾的内容就会被解析出来,单独处理。而如果“${},则有可能触发这个漏洞。
全球近一半企业受到影响,Apache Log4j 2 漏洞或将长存
m0_50065287的博客
12-16 2万+
你所在的公司受到影响了吗?
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3271
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
tomcat中的开发应用系统常见的配置[转]
feng_sundy 的专栏
03-31 2478
1.设置环境变量Linux系统,修改catalina.sh和catalina.50.shJAVA_HOME=/usr/local/j2sdk1.4.2_06JAVA_OPTS=-Xms512m -Xmx512mCATALINA_HOME=/usr/local/jakarta-tomcat-5.0.28Windows系统,修改catalina.bat和catalina.50.batset J
Apache Log4j2紧急缓解措施.docx
12-16
Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出现了严重的安全漏洞, Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修复该漏洞,避免攻击者的攻击。 一、修改启动脚本 在启动 Java 应用程序时,添加一...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...
Apache Log4j 2 (apache-log4j-2.17.1-bin.tar.gz)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.tar.gz)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
记录一下log4j2漏洞解决方法
wwh_a123的博客
12-13 8201
影响的版本范围:Apache Log4j 2.x <= 2.14.1 当发现网上爆出log4j2出现漏洞时,自己也做了测试,确实是非常严重的问题。同时,测试了slf4j包,未出现类似的漏洞 import org.slf4j.Logger; import org.slf4j.LoggerFactory; private static final Logger logger = LoggerFactory.getLogger(Test.class);//slf4j 一、解决方法: 升级log4j2包的
突发!Log4j 爆“核弹级”漏洞
12-12 2150
参考:开源中国、InfoQ等那晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用...
分析Apache Log4j2 远程代码执行漏洞
ordersyhack
02-04 9054
分析Apache Log4j2 远程代码执行漏洞
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
smellycat000的专栏
12-10 4419
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞。经过分析,该组件存在Java JND...
Tomcat禁用OPTIONS协议
A_Runner的博客
06-08 1万+
冷冷七弦上,静听松风寒 最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 解决方案: 你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打...
突发!Log4j 再爆“史诗级”漏洞,Kafka、Elasticsearch等均受影响,查!修复!...
Java精选
12-11 3158
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜留言必回,有问必答!每天08:15更新文章,每天进步一点点...Log4j 2发布于2014年。Ap...
log4j2日志漏洞解决
六月Bing的博客
12-22 3854
日志的作用 日志记录主要用来监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作;跟踪代码运行时轨迹,作为日后审计的依据;担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息。因此,对于程序员来说,日志记录非常重要。 log4j2 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞的出现,正
Log4J2漏洞修复方法验证及最终方案
热门推荐
dbzzcz的博客
12-14 2万+
验证代码准备: 在项目登录接口中增加类似如下代码: @PostMapping("login") public R<?> login(@RequestBody LoginBody form) { //form.getUsername()="${java:version}" logger.info("登录:{}",form.getUsername()); // 用户登录 LoginUser userInfo = sysLoginService.login(form.getUsernam
TOMCAT不得不说的二三事
lycoo的专栏
03-24 1093
TOMCAT不得不说的二三事 [NickTai 发表于 2005-3-16 15:32:09]转载 http://blog.csdn.net/DarkXie/archive/2004/10/25/TOMCATAPP.aspx谨以此文送给所有正在使用TOMCAT或者打算使用的人们,向TOMCAT的所有开发人员致敬!一、小猫TOMCAT其实很可爱2003年底,我换公司了,同样也换了WEBAPP,TOM
2022年信息安全漏洞通报1月.pdf
最新发布
05-11
值得注意的重大漏洞包括Apache Log4j的代码问题漏洞(CVE-2022-23307)和Polkit安全漏洞(CVE-2021-4034)。这些漏洞可能导致攻击者在目标系统上执行恶意代码或提升本地用户权限,已发布的修复版本建议用户进行检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值