Log4j漏洞修复

最新推荐文章于 2024-05-15 08:23:45 发布
最新推荐文章于 2024-05-15 08:23:45 发布
阅读量1.9k 收藏
点赞数
分类专栏: Java 文章标签: eureka elementui java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/watson2017/article/details/122230684
版权

Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。

 12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。

简单来说,就是在打印日志时,如果发现日志内容中包含关键词 ${,那么这个里面包含的内容会当做变量来进行替换,导致攻击者可以任意执行命令。详细漏洞披露可查看: https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

版本影响范围

Apache Log4j 2.x <= 2.14.1 版本均会受到影响。

12 月 10 日上午, 阿里云安全团队 再次发出预警,发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,建议及时更新至 Apache Log4j 2.15.0-rc2 版本。

根据微步在线研究响应中心消息,可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。

临时修复建议(任选一种)

  • 禁止使用log4j的服务器外连
  • 添加 jvm 启动参数-Dlog4j2.formatMsgNoLookups=true
  • 在应用 classpath 下添加 log4j2.component.properties 配置文件,文件内容为 log4j2.formatMsgNoLookups=true
  • 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
  • 升级Java版本至JDK 11.0.1、8u191、7u201、6u211或更高版本
  • 部署使用第三方防火墙产品进行安全防护

log4j版本升级2.16.0

一、查看当前log4j版本

首先需要确认下当前项目是否引入了log4j?引入的log4j版本是多少?有些项目可能没有直接引入,但引入的其他组件中使用了log4j,所以需要仔细排查一下。

先检查了一下项目的pom文件,发现并未用到log4j,但是解压jar包后发现lib库中有log4j-api-2.11.1.jar,应该是依赖库中用到了log4j。

这里,我们可以使用IDEA编译器带的maven show dependencies功能来分析。

可以在IDEA找到项目的pom.xml文件,右键找到show dependencies。打开后如下,找到对应的log4j的依赖图:

 可以看到log4j是否被依赖,且可以查看版本。

二、升级log4j版本

在工程pom里面添加如下的依赖:

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.16.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-to-slf4j</artifactId>
    <version>2.16.0</version>
</dependency>

培根芝士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Log4j 漏洞修复和临时补救方法
12-14 3747
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
Log4j 漏洞修复检测 附检测工具
热门推荐
cnsre运维博客
12-13 1万+
作者:SRE运维博客 博客地址:https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211213210004/ 相关话题:https://www.cnsre.cn/tags/Log4j/ 近日的Log4j2,可是非常的火啊,我也是加班加点把补丁给打上了次安心。Apache Log4j2存在远程代码执行漏洞,经验证,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制。由于Apache Log4j 2应用较为广泛,建议使用该组件的用..
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
2401_84254530的博客
04-28 1002
dnslog回显测试易受攻击示例代码。
Log4j执行漏洞修复教程
github_36774378的博客
12-16 5979
Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
原有项目修复log4j的漏洞
坐等夕阳落time的博客
12-25 209
原有项目修复log4j的漏洞
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
log4j2.17.2
04-14
log4j 全套jar包 用于修复漏洞和替换升级log4j 全套jar包 用于修复漏洞和替换升级log4j 全套jar包 用于修复漏洞和替换升级log4j 全套jar包 用于修复漏洞和替换升级
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
已修改过的log4j-1.2.17.jar
11-21
使用log4j的DailyRollingFileAppender时只有一个日志文件,修改DailyRollingFileAppender源码
java 中log4j包总结的各个版本
02-24
包含几个log4j包的几个版本,大家可以各取所需
速度!快速临时解决Log4j惊天漏洞
DynmicResource的博客
12-10 2200
theme: scrolls-light ???? 个人主页:@青Cheng序员石头 ???? 粉丝福利:加粉丝群 一对一问题解答,获取免费的丰富简历模板、提高学习资料等,做好新时代的卷卷王! Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复Logback架构中的一些问题,是目前最优...
使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
最新发布
qq_53058639的博客
05-15 643
简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对该漏洞的处理方案。
Apache Log4j曝史诗级漏洞,Spring boot修复教程
chechengtao
12-13 6964
全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞,攻击者可以利用该漏洞远程执行恶意代码。据阿里云通报,由Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 该漏洞于12月7日由游戏平台Minecraft用户在网上曝光,据称黑客可以通过操作日志消息(甚至在聊天信息中键入内容),并且还可以在Minecraft服务器端执行恶意代码。Apache log4j官方在7日当天便发布2.15.0-rc1版本以修复漏洞,随后,阿里云、斗象
分布式 | log4j2 漏洞修复方案
ActionTech的博客
12-15 2640
作者:鲍凤其 爱可生 dble 团队开发成员,主要负责 dble 需求开发,故障排查和社区问题解答。少说废话,放码过来。 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。 dble 运行依赖许多组件的 jar 包,当遇到某个组件有漏洞时,需要紧急修复。 Apache Log4j2 安全漏洞说明:https://nosec.org/home/detail/4917.html 修复方案 ⚠️:方案1可实施,截止至北京时间2021年12月14日11时,log.
Apache log4j漏洞常规修复方法
aischang
01-10 8209
一、升级官方版本(推荐) 目前Apache官方已发布最新版升级包,JAVA7版本升级至log4j 2.12.4版本,JAVA8及以上版本升级至log4j 2.17.0版本,升级包中移除了对lookup功能的支持,默认禁用了JNDI方法,该方法目前已经通过我行测试确认可修复。 二、移除log4j包中JndiLookup类(可能存在未知影响) 移除log4j-core包中JndiLookup类文件,并重启服务,具体方法如下: Linux系统: zip -q -d log4j-core-*.jar ..
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 478
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Log4j安全漏洞修复
07-29
根据引用\[1\]和\[2\],修复Log4j安全漏洞的推荐方案是通过删除漏洞类进行修复。具体的操作是使用以下命令删除log4j-core jar包中存在漏洞的类:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class。这种修复方案比较稳定且被官方推荐使用。同时,根据引用\[2\],需要检测Java应用是否引入了log4j-api和log4j-core两个jar包,如果存在应用使用这两个jar包,极大可能会受到影响。 此外,根据引用\[3\],该漏洞的CVE编号为CVE-2021-44228,它是由log4j-core代码中的JNDI注入漏洞导致的。这个漏洞可能直接导致服务器被入侵,并且由于日志场景的特性,攻击数据可以多层传导,甚至威胁到纯内网的服务器。考虑到log4j作为Java开发的基础公共日志类,使用范围非常广,该漏洞的影响范围可能非常深远,类似于过去的commons-collections反序列化漏洞。 因此,为了修复Log4j安全漏洞,推荐使用删除漏洞类的方案,并且需要及时检测和更新Java应用中使用的log4j-api和log4j-core两个jar包,以确保应用的安全性。 #### 引用[.reference_title] - *1* *3* [Log4j 严重漏洞修最新修复方案参考](https://blog.csdn.net/Javaesandyou/article/details/122071474)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Log4j2漏洞修复](https://blog.csdn.net/derstsea/article/details/121918902)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值