关于 log4j2 安全漏洞的说明

最新推荐文章于 2024-04-15 13:59:42 发布
最新推荐文章于 2024-04-15 13:59:42 发布
阅读量1.3k 收藏
点赞数
文章标签: java docker mysql python 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ucanuup_/article/details/121950812
版权

695a5c2a-11a8-4aab-b4f2-d87368e8678f.png

就近期出现的 Apache log4j2 安全漏洞[1],建议 Apache Doris 用户采取以下方式处理和规避。


方案1:修改 FE 、Broker 进程的 JVM 启动参数


  • FE:

    在 conf/fe.conf 的 JAVA_OPTS 中添加:

    -Dlog4j2.formatMsgNoLookups=true


  • Broker:

    在 bin/start_broker.sh 的 JAVA_OPTS 中添加:

    -Dlog4j2.formatMsgNoLookups=true


    之后,重启相关进程即可。该方案无需升级Doris,可作为临时修复方案。


方案2:升级 log4j 版本至 2.15.0


    请参考以下 PR 修改对应的 log4j 版本依赖,然后重新编译部署相关组件(FE、BROKER、plugins)。


https://github.com/apache/incubator-doris/pull/7364/files








[1] https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

本文分享自微信公众号 - ApacheDoris(gh_80d448709a68)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

ApacheDoris
关注
Apache Log4j2漏洞
Mr.xing的博客
11-13 817
Log4j2是一个Java日志组件,被各类Java框架广泛使用,它的前身是Log4j,Log4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jar包log4j-${版本号}.jar。Log4j2分为2个jar包,一个是接口log4j-api-${版本号}.jar,一个是具体实现log4j-core-${版本号}.jar。Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1714
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
Log4j2漏洞
qq_45455136的博客
03-08 734
Log4j2漏洞简介Log4j2介绍LDAPJNDIJNDI可访问的服务命名服务(Naming Service)JNDI命名引用注入Log4j2漏洞原理Log4j2漏洞影响Log4j2漏洞排查方法Log4j2漏洞复现Log4j2 RCE漏洞修复 Log4j2介绍 Log for JavaApache的开源日志记录组件,使用非常广泛 基本操作 pom引入依赖 获得logger实例 logger.info() debug() error() warn() … LDAP Lightweight Direct
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Apache Log4j 漏洞说明
Zjx91919191的博客
12-14 3351
关于log4j2的简要说明
Apache log4j2漏洞
m0_63645854的博客
06-13 598
本文介绍了log4j2的远程代码执行漏洞
Log4j2最近被爆出巨大漏洞
文盲青年的博客
12-11 3379
一、背景 近日,知名sl4j日志规范实现框架log4j2被爆出巨大漏洞,可被黑客利用jndi机制执行非法命令,获取服务器权限等,不幸的是很多知名框架也用了log4j2,我们熟知的如Apache Struts2、Apache Solr、Apache Druid、Apache Flink… 相信很多互联网厂此刻正瑟瑟发抖,紧急修复。 国家网络应急中心也紧急发布了处理意见:关于Apache Log4j2存在远程代码执行漏洞的安全公告 很多服务使用了log4j2框架,并且打了API入参日志、三方交互日志等,正在被黑
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4j、Log4j2和Fastjson的安全性问题在过去曾引起广泛关注,例如Log4j2的CVE-2021-44228(也被称为Log4Shell漏洞),这是一个远程代码执行漏洞,影响了许多使用Log4j2的系统。这个插件可能就是为了检测和利用这些...
log4j2_rce 项目
02-23
本文将深入探讨一个重要的安全漏洞——Log4j2远程代码执行(RCE)漏洞,该漏洞曾引起全球广泛关注。我们将从项目标题"Log4j2_rce"入手,结合其描述,探讨这一漏洞的成因、影响以及如何利用和防范。 首先,Log4j2是...
windows热补丁Log4j2漏洞缓解工具漏洞java补丁.zip
12-16
针对这一问题,Windows平台上出现了一款名为“Log4j2漏洞缓解工具”的解决方案,它可以帮助用户快速检测并修复这一安全隐患。 Log4j2是一款广泛使用的Java日志框架,由于其内置的JNDI(Java Naming and Directory ...
Apache log4j2安全漏洞解析及解决方法
博学笃志-格物明德
12-13 2471
1、使用logj2的低版本记录日志时,如果使用如下方式,则输出: 这是log4j2的一个lookup功能。 2、先用浏览器打开http://dnslog.cn/这个网址,如下图 3、调整代码,执行后,点击刷新 Refresh Record,发现ip获取到了。 4、解决方法: 1、通过jvm参数调整, 2、升级2.15.0版本。 ...
Log4J2漏洞(CVE-2024-44228)原理_log4j2漏洞原理,2024年最新快手网络安全面试
最新发布
2401_83621004的博客
04-15 845
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发 者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏 洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶 意请求,触发远程代码执行漏洞,从而获得目标服务器权限。漏洞适应版本:2.0
Apache Log4j2 漏洞原理
m0_49025459的博客
06-26 2027
Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响。
log4j2高危漏洞原理分析
gejiangbo222的专栏
12-22 3361
原理分析 了解2.15版本前log4j2可输出变量 首先新建一个maven项目,加入log4j2的代码,我们用maven方式,只需要引入这两个pom依赖即可 <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <ve...
redis未授权访问漏洞完整复现与踩坑
热门推荐
Shanfenglan's blog
10-13 5万+
CATALOG前言环境配置靶机环境配置第一步:下载并解压redis第二步:修改配置文件第三步:开启redis在攻击机上下载redisredis常见命令漏洞利用须知与漏洞理解实验过程前言资产列表漏洞利用:利用漏洞写入webshell漏洞利用:写入ssh公钥漏洞利用:利用计划任务反弹shell漏洞修复建议(引用他人博客) 前言 几年前就知道这个漏洞,可是一直没有机会复现,这两天真好有机会复现一下它,在这里做一个记录。 环境配置 靶机环境配置 第一步:下载并解压redis 下载redis并安装 wget h
log4j漏洞分析
weixin_47623655的博客
04-11 742
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
2021年12月报Log4j1.2网络安全漏洞排查和修复建议
lujiawei00的专栏
12-20 9771
2021年12月报Log4j1.2网络安全漏洞排查和修复建议。
禁用HTTP跟踪/跟踪
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-24 3424
完整请求(包括HTTP标头,可包括cookie或身份验证数据等敏感信息)将在TRACE响应的实体主体中返回。该请求主要由开发人员用于测试和调试HTTP应用程序,并且在大多数Web服务器软件中默认可用。2、Doris部署BE后端时,会使用python的SimpleHTTPServer(生产环境不建议使用,它只实现了简单的安全性)或http.server模块(不建议生产)来快速实现web服务。3、基于上,更换doris的web为http或nginx来实现。在http和nginx上实现禁用trace。...
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4506
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Log4j2安全漏洞复现及解决
在Log4j库的历史中,有一个非常重要的安全漏洞,该漏洞存在于Log4j 1.x以及Log4j 2.x的早期版本中。此文档似乎是在尝试复现Log4j2的一个特定版本()中的bug,这通常指的是CVE-2021-44228,也被称为“Log4Shell”...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ApacheDoris

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值