logstash的jackson-databind漏洞修复

已于 2023-06-06 14:58:19 修改
阅读量1.3k 收藏
点赞数
分类专栏: logstash 文章标签: java linux 运维 云计算
于 2023-06-06 14:55:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wiuhsaa/article/details/131067779
版权

logstash的6.8版本的jackson-databind漏洞修复

1. 首先下载新版本的jackson包,由于网上的要编译我这从其他的logstash版本下直接拷贝的,可以参考我的方法

在这里插入图片描述

2. 这里安装的是7.17.9版本,到指定目录拷贝jackson-databind出来
cd /usr/share/logstash/logstash-core/lib/jars/

在这里插入图片描述

3. 只需要下载jackson-databind-2.9.10.8.jar即可
4. 下面进行logstash的jackson-databind升级,我这里面用的是rpm包安装,如果是其他方式安装请修改对应的路径,这里升级的是logstash6.8的jackson-databind
#备份对应jar
mv /usr/share/logstash/logstash-core/lib/jars/jackson-databind-2.9.10.1.jar /usr/share/logstash/logstash-core/lib/jars/jackson-databind-2.9.10.1.jar.bak
上传刚才下载的jar包至 /usr/share/logstash/logstash-core/lib/jars/
5. 备份原来目录,创建版本目录
mkdir /opt/logstash/
mv /usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/jrjackson-0.4.11-java/lib/com/fasterxml/jackson/core/jackson-databind/2.9.10.1/ /opt/logstash/
mkdir /usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/jrjackson-0.4.11-java/lib/com/fasterxml/jackson/core/jackson-databind/2.9.10.8/
上传刚才下载的jar包至 /usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/jrjackson-0.4.11-java/lib/com/fasterxml/jackson/core/jackson-databind/2.9.10.8/

在这里插入图片描述

6. 修改为logstash权限
chown logstash:logstash -R /usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/jrjackson-0.4.11-java/lib/com/fasterxml/jackson/core/jackson-databind/2.9.10.8
chown logstash:logstash -R  /usr/share/logstash/logstash-core/lib/jars/
7. 创建一个测试文件touch /root/logstash.conf
input{
   beats{
     port => 5050
     codec => json
}
}


output {
   stdout {
     codec => "rubydebug"
}
}
8. 启动测试正常
/usr/share/logstash/bin/logstash -f /root/logstash.conf

在这里插入图片描述

root/logstash.conf
终点位于?
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
logstash-output-jdbc.zip
03-27
./logstash-plugin prepare-offline-pack --overwrite --output logstash-input-jdbc.zip logstash-input-jdbc 最后成功会出现以下信息 You can install it with this command `bin/logstash-plugin install file...
logstash-filter-multiline
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,...
Jackson-databind的安全漏洞
weixin_30426065的博客
07-25 2341
今天公司发出了修复jackson-databind的安全漏洞分析,让公司统一修复,以下是过程: 一、基本描述 在2.9.9之前的FasterXML jackson-databind 2.x中发现了一个问题。为外部公开的JSON端点启用默认键入(全局或特定属性)时,该服务在类路径中具有mysql-connector-java jar(8.0.14或更早版本),并且攻击者可以托管精心...
jar包依赖漏洞升级思路
qq_32590535的博客
06-21 2277
jar包漏洞升级常见思路和处理流程
2024年网络安全最全再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报(5),程序员的中年危机
最新发布
2401_84267735的博客
05-12 728
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;的区别,前者对社会生态影响并不大,而后者恨不得让全球都停摆了,即使它致死率还远没有前者那么高,这就是影响范围的“力量”。
jackson-databind升级2.7版本到2.10.0
m0_37558251的博客
05-20 1万+
1.直接修改jackson-databind版本号为2.10.0 启动报错,找不到类。 2.升级版本号同时加上jackson-core依赖 <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId> <version>2.10.0</version> &lt
一文详细看懂 Jackson 框架 + 上手
qq_41826542的博客
03-13 1588
配置大全spring:jackson:# 设置属性命名策略,对应jackson下PropertyNamingStrategy中的常量值,SNAKE_CASE-返回的json驼峰式转下划线,json body下划线传到后端自动转驼峰式# 全局设置@JsonFormat的格式pattern# 当地时区# 设置全局时区# 常用,全局设置pojo或被@JsonInclude注解的属性的序列化方式。
Elasticsearch Log4j漏洞快速修复步骤
热门推荐
陈万洲的专栏
12-17 1万+
Elasticsearch Log4j漏洞快速修复步骤
es log4j2漏洞修复
qq_42703989的博客
12-28 2983
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞适用版本为 2.0<=Apache log4j2<=2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。 两台服务器上elasticsearch版本为7.14.0 ,所使用的Apache log4j2版本是 2.11,遂进行
Jackson之jackson-databind
别抢我蓝buff
03-22 4329
原文链接:http://www.dubby.cn/detail.html?id=9070 前几篇介绍Jackson的文章(Jac...
logstash-output-clickhouse:实现Logstash的ClickHouse输出
05-25
Logstash插件 该插件是Lucidworks logstash json_batch的修改版本。 该插件可用。 已对其进行了修改,以支持ClickHouse JSON格式,但还支持容错功能。 用法 请注意,使用时,插件的名称为clickhouse ,它仅支持当前...
jackson-databind-2.9.10.8.jar升级相关jar包
04-21
jackson-databind-2.9.10.8.jar升级相关jar包包含: jackson-module-jaxb-annotations-2.9.10.jar jackson-core-2.9.10.jar jackson-databind-2.9.10.8.jar jackson-annotations-2.9.10.jar jackson-jaxrs-json-provider-2.9.10.jar jackson-jaxrs-base-2.9.10.jar 下载地址 https://repo1.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/2.9.10.8/
jackson-databind-2.6.7.3.rar安全版本的包
05-05
jackson-databind-2.6.7.3以下的版本都不安全,存在漏洞,只有2.6.7.3以及以上的才是安全版本,包含所依赖的jackson-core-2.6.7.jar,jackson-annotations-2.6.0.jar
jackson-databind-2.9.8最新jar包
02-03
jackson-databind-2.9.8最新jar包
jackson-2.9.3的jar包和源码
05-14
jackson-2.9.3的jar包和源码,包含jackson-annotations-2.9.3、jackson-core-2.9.3、jackson-databind-2.9.3
jackson-databind-2.10.2.jar
02-05
jackson-databind-2.10.2.jar jackson-databind最新jar包
logstash-output-jdbc插件
09-28
下载后执行以下命令安装: ./bin/logstash-plugin install file:///root/logstash-output-jdbc.zip
rpm离线安装logstash-6.2.4和logstash-output-jdbc插件
08-03
centos7下安装rpm离线安装logstash-6.2.4和logstash-output-jdbc插件 内含logstash rpm包和已打包好的logstash-output-jdbc插件
jackson-databind最佳实践
weixin_33882443的博客
02-14 1237
给出一个简单的POJO 使用databind,我们需要一个最基础的对象com.fasterxml.jackson.databind.ObjectMapper这里我们构造一个: 注意:这个objectMapper是可以复用的 ObjectMapper 该映射器(或数据绑定器或编解码...
logstash的CVE-2021-44228漏洞如何修复
06-02
CVE-2021-44228是Logstash的一个严重漏洞,也被称为Log4j漏洞。它存在于Logstash的Log4j核心依赖项中,允许攻击者通过发送特殊构造的数据包来执行任意代码。为了修复漏洞,需要采取以下措施: 1.升级Log4j版本:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值