解决Apache Log4j2漏洞通用方案(最新&亲测有效)

最新推荐文章于 2024-05-16 13:45:38 发布
最新推荐文章于 2024-05-16 13:45:38 发布
阅读量1.3w 收藏 26
点赞数 11
分类专栏: springboot java 技术点 文章标签: apache java golang spring boot 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43548310/article/details/121913668
版权
springboot 同时被 3 个专栏收录
9 篇文章 0 订阅
订阅专栏
java
7 篇文章 0 订阅
订阅专栏
技术点
1 篇文章 0 订阅
订阅专栏

【亲测有效】

漏洞背景

2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.17.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.17.0-rc2 版本。

漏洞描述
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.17.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.17.0-rc2 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。【后面Apache团队也发现2.15.0和2.16.0版本也存在远程数据漏洞,最终升级为安全版本 2.17.0】
漏洞评级
Apache Log4j 远程代码执行漏洞——严重
漏洞状态
在这里插入图片描述
影响版本
经验证 2.17.0-rc1 版本存在绕过,实际受影响范围如下:Apache Log4j 2.x < 2.17.0-rc2
安全建议

  1. 排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
  2. 升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
  3. 可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。

解决方案

方案1(极力推荐)

此方式直接升级版本来解决,升级到安全版本(2.17.0)即可。要PS的是,我们引入安全版本依赖后,也要在starter-web启动器依赖里把Spring Boot自带的log依赖要排除掉(所谓铲草除根),因为Spring Boot封装的Apache Log4j2依赖暂时还没是最新版本,使用它可能会出现漏洞。重点来了,请参考如下代码
原依赖(存在漏洞的):

<!-- 引入log4j2依赖 -->  
<dependency> 
    <groupId>org.springframework.boot</groupId>  
    <artifactId>spring-boot-starter-log4j2</artifactId>  
</dependency>

【下面的 解决依赖1解决依赖2 均可解决漏洞,将上面原依赖替换为下面的其中一个依赖】
解决依赖1:

<!-- 安全版本 2.17.0版本(Apache 原版的log依赖) --> 
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-log4j2</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.17.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>
<!-- 去掉springboot默认配置 --> 
<dependency>  
    <groupId>org.springframework.boot</groupId>  
    <artifactId>spring-boot-starter-web</artifactId>  
    <exclusions><!-- 去掉springboot默认配置 -->  
        <exclusion>  
            <groupId>org.springframework.boot</groupId>  
            <artifactId>spring-boot-starter-logging</artifactId>  
        </exclusion>  
    </exclusions>  
</dependency>

解决依赖2:

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<!-- 安全版本 2.17.0版本(Apache 原版的log依赖) --> 
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>
<dependency>
     <groupId>org.apache.logging.log4j</groupId>
     <artifactId>log4j-api</artifactId>
     <version>2.17.0</version>
</dependency>
<!-- 去掉springboot默认配置 --> 
<dependency>  
    <groupId>org.springframework.boot</groupId>  
    <artifactId>spring-boot-starter-web</artifactId>  
    <exclusions><!-- 去掉springboot默认配置 -->  
        <exclusion>  
            <groupId>org.springframework.boot</groupId>  
            <artifactId>spring-boot-starter-logging</artifactId>  
        </exclusion>  
    </exclusions>  
</dependency>

升级到安全版本后,我们刷新Maven后能看到新依赖如下:
在这里插入图片描述

如果是Gradle版本,解决依赖如下:
修改build.gradle为:

dependencies {
  compile group: 'org.apache.logging.log4j', 
  name: 'log4j-api', 
  version: '2.17.0-rc2' 
  compile group: 'org.apache.logging.log4j', 
  name: 'log4j-core', 
  version: '2.17.0-rc2' 
 }

安全版本相关源码https://gitcode.net/mirrors/apache/logging-log4j2?utm_source=csdn_github_acceleratorhttps://github.com/apache/logging-log4j2/releases/tag/log4j-2.17.0-rc2

方案2

此方式通过部署方式和配置来临时解决漏洞,具体解决如下

  1. 在jvm启动参数中添加 -Dlog4j2.FORMATMsgNoLookups=true
    在这里插入图片描述
  2. 系统环境变量中配置 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true
  3. 项目中创建 log4j2.component.properties 文件,文件中增加配置 log4j2.formatMsgNoLookups=true
  4. 采用 rasplookup 的调用进行阻断;
  5. 采用 waf 对请求流量中的 ${jndi} 进行拦截;
  6. 禁止不必要的业务访问外网。

好lala,Apache Log4j2漏洞已解决,希望能帮助到各位后端开发er,也麻烦各位大佬顺手 点赞 && 关注,蟹蟹!!!
后期会给大家推送更加深层技术和各种性能优化方案的鸡汤~~~

LeKt Ma
关注
  • 11
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Log4j 漏洞修复和临时补救方法
12-14 3755
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x &lt;= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.logging.log4j&lt;/groupId&gt; &lt;artifa
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 &lt;= Apache log4j2 &lt;= 2.14.1,只需检Java应用是否引入 log4j-api , log4j-core 两个j
速度!快速临时解决Log4j惊天漏洞
最新发布
Innocence_0的博客
05-16 215
一对一问题解答,获取免费的丰富简历模板、提高学习资料等,做好新时代的卷卷王!Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 6201
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Log4j2 重大漏洞解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j的漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
Log4j2 漏洞解决方案
m0_46459413的博客
12-29 493
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重新编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
Log4j2漏洞复现&补丁绕过
AI
06-10 870
8u202的情况比较特殊,其实我今天凌晨在家里用的也是8u202的版本,失败了。我仔细研究了两者的不同,我发现唯一不同的就是我公司这个idea启的proiect带有springboot的库.然后看了默安的一篇文章。他这里是用的System.setProperty来做的用的是rmi,和网上通用的ldap的poc不同,也是去请求一个外链,协议不同而已,不过通常情况下rmi限制更多详细用法可以参考fastjson的利用。安恒这个,我猜和我遇到了一样的问题,所以没从本地复现,我猜是这样,不一定对。
Goby 最全最新POC共计448个
08-30
包含了致远OA A6 用户敏感信息泄露、Apache_Druid_Log4shell_CVE_2021_44228、Apache_JSPWiki_Log4shell_CVE-2021-44228、VMware_NSX_Log4shell_CVE_2021_44228、VMware_vCenter_Log4shell_CVE_2021_44228_1、Wayos ...
这是一个log4j的压缩包,直接可以用的。。。
09-09
Log4j是Apache组织开发的一款强大的日志处理框架,它为Java应用程序提供了灵活的日志记录功能。这个压缩包&ldquo;logging-log4j-1.2.9&rdquo;包含了Log4j的1.2.9版本,这是一个相对较为早期但仍然广泛使用的版本。在本文中,...
apache最新
04-29
2. **安装与配置**:安装Apache Tomcat涉及解压下载的压缩包,配置环境变量如`CATALINA_HOME`,并修改`conf/server.xml`进行端口、目录路径等设置。启动和停止Tomcat可以通过`bin/startup.sh`和`bin/shutdown.sh`...
Axis2生成webservice客户端通用依赖包
12-24
- Logging和XML解析库:如log4j和Xerces,用于日志记录和XML解析。 3. **通用依赖包**: 为什么我们需要一个通用的依赖包呢?这主要是为了简化项目的构建过程和减少版本冲突。将所有必需的依赖项打包在一起,...
struts2 最新jar包
05-31
8. **其他依赖库**:如log4j.jar用于日志记录,commons-lang3.jar提供通用的Java工具类等。 使用Struts2开发Java Web应用时,首先需要在web.xml中配置Struts2的过滤器,然后编写Action类来处理业务逻辑,使用OGNL...
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 2615
Apache log4j是Apache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
Apache log4j2 远程命令执行漏洞复现及修复方案
杨小熊学习笔记
12-14 6397
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: &lt;depend
log4j2的漏洞修复
qq_45761335的博客
12-13 4839
log4j2的漏洞修复 简介 Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。 Apache Log4j2是Log4j的升级版本,该版本与之前的log4j1.x相比带来了显著的性能提升,并且修复一些存在于Log
SpringBoot项目解决 log4j2 核弹漏洞
孙霸天的专栏
12-13 1万+
SpringBoot项目解决 log4j2 核弹漏洞! 事件情况 北京时间12月9号深夜,Apache Log4j2被曝出一个高危漏洞,攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复,依然未能完全解决问题,现在已经更新到2.15.0-rc2。该漏洞被命名为Log4Shell,编号CVE-2021-44228。 高版本的jdk已修改默认配置,可以在一定程度上限制JNDI漏洞利用方式。在这些版本中 com.sun.jndi.ldap.ob
SpringBoot项目中使用Log4j2 核弹漏洞 快速修复
隔壁老瓦的专栏
12-16 1835
在你的pom 文件中添加 如下jar引用: &lt;dependency&gt; &lt;groupId&gt;org.apache.logging.log4j&lt;/groupId&gt; &lt;artifactId&gt;log4j-api&lt;/artifactId&gt; &lt;version&gt;2.16.0&lt;/version&gt; &lt;/dependency&gt; &lt;dependency&gt; &lt;groupId&gt;or.
Apache Log4j2 远程代码执行高危漏洞 解决方案
石宗昊的博客
12-10 1万+
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊 配置,经阿里云安全团队验证 Apache Struts2、 Apache Solr. Apache Druid、 Apache Flink等均受影响。阿里云应急响应中心提醒Apache Log4j2 用户尽快采取安全措施阻止
Apache Log4j2.x RCE命令执行漏洞攻击原理及修复措施
wangpf2011的博客
12-23 3863
截止2021.12.20,短短几天Log4j2.x已经连发3个版本,用以修复RCE命令执行漏洞Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。 一、攻击原理 以RMI为例,简单阐述下该漏洞的攻击原理: 1、攻击者首先发布一个RMI服务,此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。 2、攻击者再发布另一个恶意代码下载服务,此服务可以下载所有含有恶意代码的类。 3、攻击者利用Log4j2的漏洞注入RMI调用,
apache log4j漏洞如何解决
07-11
Apache log4j漏洞是一种严重的安全漏洞,可以导致攻击者对受影响的系统进行远程代码执行攻击。为了解决这个问题,你可以按照以下步骤进行操作: 1. 确认系统是否受到漏洞的影响。你可以通过检查系统中是否存在log4j包的方式来确认是否受到漏洞的影响。 2. 更新log4j包版本。如果你的系统受到漏洞的影响,你需要更新log4j包的版本。你可以通过下载最新版本的log4j包来更新。 3. 禁用JNDI功能。如果你无法立即更新log4j包版本,你可以禁用JNDI功能来缓解漏洞的影响。在log4j的配置文件中,你可以禁用JNDI功能,并且设置一个安全的JNDI名称。 4. 监控系统日志。为了及时发现任何潜在的攻击,你需要监控系统日志,并及时采取行动。 总之,为了有效解决Apache log4j漏洞,你需要及时更新log4j包版本,并采取其他措施来保护受影响的系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值