Log4j2 0day漏洞项目级紧急修复方法

最新推荐文章于 2024-05-09 08:30:00 发布
最新推荐文章于 2024-05-09 08:30:00 发布
阅读量1.3k 收藏
点赞数
文章标签: maven apache java log4j2 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010362568/article/details/121938982
版权

Log4j2 0day漏洞修复方法,该方法是从项目级别进行组件替换,解决组件深度依赖的问题。

1、POM高版本log4j包引入

官方已经发布到2.16.0版本

        <!--log4j 0day 漏洞修复 手动引入高版本-->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.16.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>2.16.0</version>
        </dependency>

2、引入maven-enforcer-plugin插件检测和替换

		<!--log4j 0day 漏洞修复 项目打包检查-->
        <plugin>
            <groupId>org.apache.maven.plugins</groupId>
            <artifactId>maven-enforcer-plugin</artifactId>
            <version>3.0.0-M3</version>
            <executions>
            <execution>  
                <id>enforce-banned-dependencies</id>  
                <goals>  
                <goal>enforce</goal>  
                </goals>  
                <configuration>  
                <rules>  
                    <bannedDependencies>  
                    <excludes>  
                        <exclude>org.apache.logging.log4j:log4j-api</exclude>  
                        <exclude>org.apache.logging.log4j:log4j-to-slf4j</exclude>  
                    </excludes>  
                    <includes>  
                        <include>org.apache.logging.log4j:log4j-api:2.16.0:jar</include>  
                        <include>org.apache.logging.log4j:log4j-to-slf4j:2.16.0:jar</include>  
                    </includes>  
                    </bannedDependencies>  
                </rules>  
                <fail>true</fail>  
                </configuration>  
            </execution>  
            </executions>
        </plugin>

参考资料

  • https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-to-slf4j/2.16.0

  • https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api

董琪峰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
知名Java日志组件Log4j2爆出严重0 day漏洞,连我们客户都来问中招了没
码农小胖哥
12-10 1209
今天早上醒来,知名的Java日志组件Apache Log4j2就刷爆了圈子。它被发现了一个 0 Day 漏洞,该Log4J2 漏洞可以让黑客通过日志记录远程执行代码(Remote Code...
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4416
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
日志架构选型:彻底搞懂Log4jLog4j2、LogBack、Slf4j之间的关系
最新发布
永远保持随时离开的技术能力!
05-09 2835
彻底搞懂Log4jLog4j2、LogBack、Slf4j之间的关系
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3278
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆的详细教程)
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
Apache Log4j2 远程代码执行漏洞检测工具
12-15
漏洞影响了全球大量的网络服务,因此,快速、准确地检测和修复Log4j2漏洞变得至关重要。 针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
Apache Log4j2紧急缓解措施.docx
12-16
Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出现了严重的安全漏洞Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修复漏洞,避免攻击者的攻击。 一、修改启动脚本 在启动 Java 应用程序时,添加一...
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2Apache基金会...
0DAY软件查询小偷
06-02
查询 0DAY 软件信息
Log4j漏洞原理及修复
o0way0o的博客
01-01 1960
*JNDI(Java Naming and Directory Interface–Java)**命名和目录接口 是Java中为命名和目录服务提供接口的API,通过名字可知道,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其中Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中,同时可通过名字获取对象的属性同时操作属性。
Log4j2漏洞复现
weixin_51519028的博客
08-12 1万+
Apache Log4j2Apache软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。2021 年 12 月 9 日晚,Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......
log4j2日志包中发现RCE 0day漏洞--测试记录2021年12月10日
陈海明 -全栈
12-12 1316
一、发生时间:2021年12月10日 在流行的 Java 日志库log4j中发现了一个 0day漏洞(绰号Log4Shell 或 LogJam或 log4j2rce,详见:CVE-2021-44228),该漏洞通过记录某个字符串导致远程代码执行 (RCE)。 鉴于log4j2库非常流行,漏洞会被利用完全控制你的服务器,实现挖矿等无法想象的后果。这个 log4j 漏洞非常严重,该漏洞在 CVSS 评系统中的得分为 10 分,满分是10分,表明问题的严重性。数...
最牛逼的 Java 日志框架,性能无敌,横扫所有对手。。
Java技术栈,分享最主流的Java技术
04-13 479
点击关注公众号,Java干货及时送达作者:空无链接:https://juejin.cn/post/6945753017878577165Logback 算是JAVA 里一个老牌的日志框架,...
log4j2 按天分日志
热门推荐
程序员
07-09 4万+
log4j2的按天分日志文件
解决Apache Log4j2漏洞通用方案(最新&亲测有效)
weixin_43548310的博客
12-13 1万+
通用的Apache Log4j2漏洞最佳方案,赶紧冲冲冲!
log4j每日0点生成一个新文件夹并生成新的log文件
df331009的博客
10-17 2841
log4j在实际项目开发中应用的十分广泛,但java中提供的log4j功能并不能友好的满足实际需求,我们需要每个日志文件超过100M时产生一个新日志文件,我们只需配置 log4j.appender.bc.MaxFileSize=102400KB log4j.appender.bc.MaxBackupIndex=100 但这样每天生成的日志文件都在一起看起来很不方便,所以我们需要每天0点生成一...
VMSA-2021-0028.pdf
12-13
“VMSA-2021-0028.pdf”文件是关于VMware针对CVE-2021-44228,即著名的Apache Log4j漏洞修复方案。此漏洞影响了多个VMware产品,公司提供了临时措施以及官方说明链接,用户可以参考这些信息来保护其系统安全。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值