关于 log4j2 安全漏洞的说明

最新推荐文章于 2024-06-08 09:39:24 发布
最新推荐文章于 2024-06-08 09:39:24 发布
阅读量1.3k 收藏
点赞数
文章标签: java docker mysql python 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ucanuup_/article/details/121950812
版权

695a5c2a-11a8-4aab-b4f2-d87368e8678f.png

就近期出现的 Apache log4j2 安全漏洞[1],建议 Apache Doris 用户采取以下方式处理和规避。


方案1:修改 FE 、Broker 进程的 JVM 启动参数


  • FE:

    在 conf/fe.conf 的 JAVA_OPTS 中添加:

    -Dlog4j2.formatMsgNoLookups=true


  • Broker:

    在 bin/start_broker.sh 的 JAVA_OPTS 中添加:

    -Dlog4j2.formatMsgNoLookups=true


    之后,重启相关进程即可。该方案无需升级Doris,可作为临时修复方案。


方案2:升级 log4j 版本至 2.15.0


    请参考以下 PR 修改对应的 log4j 版本依赖,然后重新编译部署相关组件(FE、BROKER、plugins)。


https://github.com/apache/incubator-doris/pull/7364/files








[1] https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

本文分享自微信公众号 - ApacheDoris(gh_80d448709a68)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

ApacheDoris
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Apache Log4j2漏洞
Mr.xing的博客
11-13 805
Log4j2是一个Java日志组件,被各类Java框架广泛使用,它的前身是Log4j,Log4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jar包log4j-${版本号}.jar。Log4j2分为2个jar包,一个是接口log4j-api-${版本号}.jar,一个是具体实现log4j-core-${版本号}.jar。Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。
Log4j2漏洞详解
左右为南的专栏
12-12 5968
Log4j2漏洞JDNI攻击简要代码
Log4J2漏洞(CVE-2024-44228)原理_log4j2漏洞原理,2024年最新快手网络安全面试
2401_83621004的博客
04-15 827
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发 者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏 洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶 意请求,触发远程代码执行漏洞,从而获得目标服务器权限。漏洞适应版本:2.0
推荐开源项目:Apache Log4j 2 - 从遗产到安全高效的升级之旅
最新发布
gitblog_00053的博客
06-08 729
推荐开源项目:Apache Log4j 2 - 从遗产到安全高效的升级之旅 项目地址:https://gitcode.com/apachelogging-log4j1/logging-log4j1 随着技术的飞速发展,日志管理作为软件开发中的重要环节,其工具的选择显得尤为重要。今天,我们将目光聚焦在Apache基金会下的一个关键组件——Apache Log4j 2。本文将带你了解为什么迁移到Log...
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 9469
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Apache Log4j 漏洞说明
Zjx91919191的博客
12-14 3347
关于log4j2的简要说明
Log4j2漏洞
qq_45455136的博客
03-08 726
Log4j2漏洞简介Log4j2介绍LDAPJNDIJNDI可访问的服务命名服务(Naming Service)JNDI命名引用注入Log4j2漏洞原理Log4j2漏洞影响Log4j2漏洞排查方法Log4j2漏洞复现Log4j2 RCE漏洞修复 Log4j2介绍 Log for JavaApache的开源日志记录组件,使用非常广泛 基本操作 pom引入依赖 获得logger实例 logger.info() debug() error() warn() … LDAP Lightweight Direct
Apache log4j2漏洞
m0_63645854的博客
06-13 593
本文介绍了log4j2的远程代码执行漏洞
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4j、Log4j2和Fastjson的安全性问题在过去曾引起广泛关注,例如Log4j2的CVE-2021-44228(也被称为Log4Shell漏洞),这是一个远程代码执行漏洞,影响了许多使用Log4j2的系统。这个插件可能就是为了检测和利用这些...
log4j2_rce 项目
02-23
本文将深入探讨一个重要的安全漏洞——Log4j2远程代码执行(RCE)漏洞,该漏洞曾引起全球广泛关注。我们将从项目标题"Log4j2_rce"入手,结合其描述,探讨这一漏洞的成因、影响以及如何利用和防范。 首先,Log4j2是...
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1678
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
windows热补丁Log4j2漏洞缓解工具漏洞java补丁.zip
12-16
针对这一问题,Windows平台上出现了一款名为“Log4j2漏洞缓解工具”的解决方案,它可以帮助用户快速检测并修复这一安全隐患。 Log4j2是一款广泛使用的Java日志框架,由于其内置的JNDI(Java Naming and Directory ...
Log4j2最近被爆出巨大漏洞
文盲青年的博客
12-11 3345
一、背景 近日,知名sl4j日志规范实现框架log4j2被爆出巨大漏洞,可被黑客利用jndi机制执行非法命令,获取服务器权限等,不幸的是很多知名框架也用了log4j2,我们熟知的如Apache Struts2、Apache Solr、Apache Druid、Apache Flink… 相信很多互联网厂此刻正瑟瑟发抖,紧急修复。 国家网络应急中心也紧急发布了处理意见:关于Apache Log4j2存在远程代码执行漏洞的安全公告 很多服务使用了log4j2框架,并且打了API入参日志、三方交互日志等,正在被黑
Apache log4j2安全漏洞解析及解决方法
博学笃志-格物明德
12-13 2460
1、使用logj2的低版本记录日志时,如果使用如下方式,则输出: 这是log4j2的一个lookup功能。 2、先用浏览器打开http://dnslog.cn/这个网址,如下图 3、调整代码,执行后,点击刷新 Refresh Record,发现ip获取到了。 4、解决方法: 1、通过jvm参数调整, 2、升级2.15.0版本。 ...
Apache Log4j2 漏洞原理
m0_49025459的博客
06-26 2017
Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响。
log4j2高危漏洞原理分析
gejiangbo222的专栏
12-22 3358
原理分析 了解2.15版本前log4j2可输出变量 首先新建一个maven项目,加入log4j2的代码,我们用maven方式,只需要引入这两个pom依赖即可 <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <ve...
Apache Druid 命令执行漏洞复现(CVE-2021-25646)
m0_48520508的博客
03-22 1578
0x00简介 Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。 另外,Druid 还有一个关键的特点:它支持根据时间戳对数据进行预聚合摄入和聚合分析,因此也有用户经常在有时序数据处理分析的场景中用到它。 0x01漏洞概述 在Druid 0.20.0及更低版本中,用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码。攻击者可
log4j的bug演示与修复
JustMyLive的博客
12-26 3615
文章目录1、描述2、Log4j版本详细信息3、Log4j官网发布的缓解措施3.1、Log4j 1.x缓解措施3.2、Log4j 2.x缓解措施3.3、不可信的缓解措施4、Spring官网发布的log4j2漏洞缓解措施4.1、Gradle4.2、Maven5、复现Log4j的bug6、缓解Log4j的bug7、数据来源 1、描述 在 Apache Log4j2 版本(最高包括 2.14.1)(不包括安全发布版 2.3.1、2.12.2 和 2.12.3)中,在配置、日志消息和参数中使用的 JNDI 功能部件
log4j漏洞分析
weixin_47623655的博客
04-11 735
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ApacheDoris

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值