Apache Log4j任意代码执行漏洞修复 spring-boot-starter-log4j2

最新推荐文章于 2024-09-23 07:00:00 发布
最新推荐文章于 2024-09-23 07:00:00 发布
阅读量3.7w 收藏 63
点赞数 23
文章标签: Apache Log4j2 远程代码执行 漏洞修复 安全更新 版本2.15.0-rc2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_vip/article/details/121857170
版权

spring-boot-starter-log4j2修复方式

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-log4j2</artifactId>

</dependency>

替换为:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-log4j2</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.15.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.15.0</version>
</dependency>

maven中央仓库目前还没有,可以通过下载源码本地进行构建

源码地址:Release log4j-2.15.0-rc2 · apache/logging-log4j2

 

 

2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

Apache Log4j 远程代码执行漏洞 严重

影响版本

经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:

Apache Log4j 2.x < 2.15.0-rc2

安全建议

1、排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3、可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。

 

相关链接

1、https://github.com/apache/logging-log4j2

wzj-java
关注
Log4j CVE-2021-44228 漏洞及Spring Boot解决方案
oscar999的专栏
12-17 2136
Log4j 的2 到 2.14 版本最近爆出了一个比较大的漏洞漏洞编号是CVE-2021-44228。本篇对该漏洞进行简单介绍, 并介绍Spring Boot项目如何解决该漏洞
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
springboot系类代码spring-boot-starter-log4j2-integration
BLOG域名:programb.blog.csdn.net
05-21 552
Log4jApache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。 package io.github.programb.springboot.log4j2.integration; impor
java日志框架之Log4j
最新发布
从基础到源码解析的学习记录
09-23 3509
Log4jApache的一个开源项目可以控制日志信息输出到控制台文件、甚至是数据库中可以控制每一条日志的输出格式通过一个配置文件来灵活地进行配置,而不需要修改应用的代码主要由Loggers (日志记录器)、Appenders(输出控制器)和 Layout(日志格式化器)组成Loggers:控制日志的输出级别与日志是否输出Appenders:指定日志的输出方式(输出到控制台、文件等)Layout:控制日志信息的输出格式;源码默认从类路径找。
Maven报红spring-boot-starter-log4j2
weixin_35757531的博客
01-04 532
Maven在编译项目的时候报红spring-boot-starter-log4j2的原因可能是: 在项目的pom.xml文件中,log4j2的依赖没有写对,或者没有写依赖。 当前网络不稳定,Maven无法下载到log4j2的依赖包。 本地仓库中没有log4j2的依赖包,Maven无法从本地仓库中获取依赖包。 解决方法: 在pom.xml文件中正确地写上log4j2的依赖,确保依赖的版本号、g...
SpringBoot使用log4j2
baidu_38845827的博客
07-04 1391
SpringBoot使用log4j2
springboot使用log4j2
m0_64787068的博客
02-29 452
代码】springboot使用log4j2
【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞
2401_83916326的博客
04-18 879
当然,如果只是为了解决 Log4j2漏洞而升级 Spring Boot 主版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。为了解决 Log4j2 近期发生的核弹级漏洞,Spring Boot 之前说新版本会升级到 Log4j v2.15.0,其中囊括了JVM、锁、并发、Java反射、Spring原理、微服务、Zookeeper、数据库、数据结构等大量知识点。其他的 Spring Boot 2.4.x 及以下的版本线不受支持。Gradle 项目的升级也是同理,略。
spring-boot-starter-samples:spring-boot-starter-samples
01-31
11. **Log4j2**:Log4j2是一个日志框架,Spring Boot starter-log4j2提供了对Log4j2的集成支持。 12. **RocketMQ**:RocketMQ是阿里巴巴开源的一款分布式消息中间件,Spring Boot starter-rocketmq帮助我们在Spring...
springBoot 集成 Log4j2
快乐的小三菊的博客
08-08 288
springBoot 集成 Log4j2
springboot 日志管理之 log4j2
zwl2220943286的博客
10-12 2218
log4j2 日志框架详解,一文让你轻松学会 log4j2 的使用。
springboot + slf4j + log4j2
weixin_45942583的博客
04-29 531
去掉后maven变动 (spring - jbdc导致)去掉后maven变动 (fastDfs依赖导致的)
SpringBoot入门——log4j2使用
weixin_49121426的博客
07-27 283
注意,使用log4j2,首先需要将默认的spring-boot-starter-logging排除。在resource目录下新建log4j2.xml文件即可,level调整日志级别。在application配置文件设置属性即可。
SpringBoot集成log4j2
wml_sing的博客
07-26 134
前言: log4j2 是 吸取 logback 而设计出来的一套新的 日志组件, log4j, logback, log4j2 都是同一个作者开发的, 早期的 log4j 是通过.properties的文件作为主配置文件, 后来发现这种设计有很多不足, 又不能去大版本更新, 所以作者 在log4j 的基础上开发了新的 logback 项目, 支持.xml,.json或者.jsn作为主配置, 而且做了很多新功能的更新(相当于log4j的升级), 但是用户已经习惯log4j 作为日志组件的使用, 因此
【Spring】SpringBoot 配置 log4j2 日志
qq_27198345的博客
12-14 9254
log4j2
springboot +log4j2+Aop
geliang666666的博客
04-21 256
第一步pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency> 第二步实现AOP类 confin包下 @Aspect @Component publ...
springboot 集成Log4j2
GSON的博客
04-26 1899
一、Log4j2的介绍 Log4jApache下的一开源项目,通过使用Log4j可以将日志信息打印到控制台、文件等。我们也可以控制每一条日志的输出格式,通过定义每一条日志信息的级别能够更加细致地控制日志的生成过程。 在应用程序中添加日志记录有三个目的: 1、监视代码中变量的变化,周期性地记录到文件中,供其他应用进行统计分析 2、跟踪代码运行时的轨迹,作为日后审计的依据 3、担当集成开发...
spring-boot-starter-log4j2spring-boot-starter-logging
08-10
`spring-boot-starter-log4j2` 是一个特定的starter,它专注于使用 Apache Log4j 2 这一强大的日志库。Log4j 2 是一款功能丰富的日志框架,它允许开发者自定义配置,并支持事件驱动、异步处理等功能。如果你的应用...
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值