Apache log4j漏洞常规修复方法

最新推荐文章于 2024-09-20 03:15:36 发布
最新推荐文章于 2024-09-20 03:15:36 发布
阅读量8.4k 收藏 4
点赞数
分类专栏: Linux 文章标签: apache java linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangmingcai/article/details/122407246
版权

一、升级官方版本(推荐)

目前Apache官方已发布最新版升级包,JAVA7版本升级至log4j 2.12.4版本,JAVA8及以上版本升级至log4j 2.17.0版本,升级包中移除了对lookup功能的支持,默认禁用了JNDI方法,该方法目前已经通过我行测试确认可修复。

二、移除log4j包中JndiLookup类(可能存在未知影响)

移除log4j-core包中JndiLookup类文件,并重启服务,具体方法如下:

Linux系统:

zip -q -d log4j-core-*.jar   org/apache/logging/log4j/core/lookup/JndiLookup.class

Windows系统:

jar包解压缩,删除org/apache/logging/log4j/core/lookup/路径下 JndiLookup.class文件

三、修改Log4j配置(需评估是否影响业务)

通过更改log4j配置达到缓解作用,具体更改配置如下:

(一)jvm启动参数添加:

-Dlog4j2.formatMsgNoLookups=True

(二)在应用classpath下添加

log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;

需注意该方法的两项措施在log4j 2.10.0以下版本无效,可采取第二种修复方式。

aischang
关注
专栏目录
Apache Log4j2漏洞
Mr.xing的博客
11-13 873
Log4j2是一个Java日志组件,被各类Java框架广泛使用,它的前身是Log4jLog4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jar包log4j-${版本号}.jar。Log4j2分为2个jar包,一个是接口log4j-api-${版本号}.jar,一个是具体实现log4j-core-${版本号}.jar。Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 2015
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
Web网络安全-----Log4j高危漏洞原理及修复
热门推荐
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Log4j2—漏洞分析(CVE-2021-44228)
最新发布
weixin_41509558的博客
09-20 97
目录Log4j2漏洞原理漏洞根因调用链源码分析调用链总结漏洞复现dnsrmi Log4j2漏洞原理 前排提醒:本篇文章基于我另外一篇总结的JNDI注入后写的,建议先看该文章进行简单了解JNDI注入: https://blog.csdn.net/weixin_60521036/article/details/142322372 提前小结说明: Log4j2(CVE-2021-44228)漏洞造成是...
Apache Log4j 漏洞修复
weixin_43354218的博客
12-19 629
Log4j 漏洞修复 文章目录Log4j 漏洞修复1、漏洞介绍2、漏洞修复2.1 1.升级Log4j版本2.2 配置启动参数 1、漏洞介绍 Apache Log4j2 是一款优秀的 Java 日志框架,Log4j 2.x – 2.14.0 版本 Lookup 基于 JNDI(Java Naming and Directory Interface),而 JNDI 支持 RMI ( Remote Method Invocation )。这导致在打印用户输入特定文本时可能远程调用任意代码在本地执行。 2、漏洞
Log4j漏洞修复方案
测试开发小白变怪兽
12-20 598
1、受影响版本 2.0 <= Apache Log4j <= 2.15.0-rc1 目前2.16.0正式版本已发布 2、排查项目中是否引用Log4j mvn dependency:tree 3、强制升级版本 在顶级POM文件中指定版本:2.16.0 <properties> <log4j.version>2.16.0</log4j.version> </properties>
分布式 | log4j2 漏洞修复方案
ActionTech的博客
12-15 2663
作者:鲍凤其 爱可生 dble 团队开发成员,主要负责 dble 需求开发,故障排查和社区问题解答。少说废话,放码过来。 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。 dble 运行依赖许多组件的 jar 包,当遇到某个组件有漏洞时,需要紧急修复Apache Log4j2 安全漏洞说明:https://nosec.org/home/detail/4917.html 修复方案 ⚠️:方案1可实施,截止至北京时间2021年12月14日11时,log.
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 1508
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
apache-log4j-1.2.17
09-28
- 需要注意的是,Log4j 1.2版本存在一些安全漏洞,例如著名的Log4Shell漏洞(CVE-2021-44228),因此尽管1.2.17是一个稳定的版本,但为了安全性考虑,建议升级到更安全的Log4j 2.x版本。 在使用"apache-log4j-...
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4jLog4j2和Fastjson的安全性问题在过去曾引起广泛关注,例如Log4j2的CVE-2021-44228(也被称为Log4Shell漏洞),这是一个远程代码执行漏洞,影响了许多使用Log4j2的系统。这个插件可能就是为了检测和利用这些...
apache-log4j-2.17.1-bin.zip
12-31
Apache Log4j 2.17.1 是一个流行的开源日志记录框架,广泛用于Java应用程序,以提供灵活且高性能的日志记录功能。这个压缩包`apache-log4j-2.17.1-bin.zip`包含了Log4j的二进制版本,用于直接在环境中部署和使用。...
使用 Apache APISIX serverless 能力快速拦截 Apache Log4j2 的高危漏洞
ApacheAPISIX的博客
12-10 3009
近日网络上曝光了 Apache Log4j2 的远程代码执行漏洞。本文介绍如何使用 Apache APISIX serverless 能力快速拦截 Apache Log4j2 的高危漏洞
springboot启动报错
aaaaaaaaaaaaam的博客
06-26 290
Log4j2 could not find a logging implementation 添加maven依赖 org.apache.logging.log4j log4j-core 2.10.0 org.apache.logging.log4j log4j-api 2.10.0
Log4j漏洞及解决方案,亲测
weixin_42492886的博客
12-14 1万+
log4j漏洞解决方案,亲测
Log4j执行漏洞修复教程
github_36774378的博客
12-16 6005
Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。
Log4j 严重漏洞修最新修复方案参考
AK774S的博客
05-10 847
缓解方式1:接入安全产品 ============ 第一时间上WAF规则、RASP拦截等措施,给修复争取时间。 但是也要注意一些静态规则上的绕过,log4j 支持的写法比较多,有非常多绕过姿势。比如: KaTeX parse error: Expected '}', got 'EOF' at end of input: {{lower:j}upper:n{upper:n}upper:n{lower:d}upper:i:{upper:i}:upper:i:{lower:r}m${lower:i}}😕 《一线.
原有项目修复log4j漏洞
坐等夕阳落time的博客
12-25 237
原有项目修复log4j漏洞
Log4j 爆“核弹级”漏洞 修复方法
oseica的专栏
12-11 4294
12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。 Apache Log4j 2.x <= 2.15.0-rc1 版本均回会受到影响。 修复方案: 1.快速应急修复方案(任选其一进行修复) (1)修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true (2)修改配置 log4j2.formatMsgNoLookups=True (3)将系统环境变量 FORM
log4j-1.2-api-2.12.4
07-30
log4j-1.2-api-2.12.4是Apache Log4j项目的一个版本,它是一个功能强大、灵活且可靠的日志记录工具。该版本是基于log4j 1.2.x系列,它提供了一套API,用于简化并统一Java应用程序的日志记录操作。 log4j-1.2-api-2.12.4在实现日志记录时,采用了层次化的结构,通过定义不同的Logger和Appender来实现灵活的日志记录方式。Logger用于指定在应用程序中生成日志的位置,Appender则用来指定日志的输出方式,比如可以将日志输出到控制台、文件、数据库等。同时,它还提供了丰富的日志级别,帮助开发人员在不同的场景下记录不同级别的日志,从而更好地进行程序调试和故障排查。 log4j-1.2-api-2.12.4具有高度的可配置性,通过配置文件可以对日志记录的各个方面进行灵活的调整,比如可以设置输出格式、日志文件的大小和数量、日志的滚动策略等等。这样,开发人员可以根据具体需求来定制日志记录的行为,从而更好地满足应用程序的需求。 除此之外,log4j-1.2-api-2.12.4还提供了对多线程环境下的日志记录的支持,它在实现细节上进行了优化,保证了高并发场景下的日志记录性能和可靠性。 总之,log4j-1.2-api-2.12.4是一个强大的日志记录工具,它提供了丰富的功能和灵活的配置方式,使得开发人员可以更加方便地记录和管理应用程序的日志信息。它的稳定性、可靠性和高性能也为应用程序的开发和运维提供了有力支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值