Apache log4j漏洞常规修复方法

最新推荐文章于 2023-02-13 00:45:19 发布
最新推荐文章于 2023-02-13 00:45:19 发布
阅读量8.2k 收藏 3
点赞数
分类专栏: Linux 文章标签: apache java linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangmingcai/article/details/122407246
版权

一、升级官方版本(推荐)

目前Apache官方已发布最新版升级包,JAVA7版本升级至log4j 2.12.4版本,JAVA8及以上版本升级至log4j 2.17.0版本,升级包中移除了对lookup功能的支持,默认禁用了JNDI方法,该方法目前已经通过我行测试确认可修复。

二、移除log4j包中JndiLookup类(可能存在未知影响)

移除log4j-core包中JndiLookup类文件,并重启服务,具体方法如下:

Linux系统:

zip -q -d log4j-core-*.jar   org/apache/logging/log4j/core/lookup/JndiLookup.class

Windows系统:

jar包解压缩,删除org/apache/logging/log4j/core/lookup/路径下 JndiLookup.class文件

三、修改Log4j配置(需评估是否影响业务)

通过更改log4j配置达到缓解作用,具体更改配置如下:

(一)jvm启动参数添加:

-Dlog4j2.formatMsgNoLookups=True

(二)在应用classpath下添加

log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;

需注意该方法的两项措施在log4j 2.10.0以下版本无效,可采取第二种修复方式。

aischang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Log4j漏洞修复方案
一颗学徒
12-13 4530
Log4j漏洞修复方案
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
最新发布
2401_84254530的博客
04-28 1008
dnslog回显测试易受攻击示例代码。
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
Apache Log4j 高危漏洞缓解和修复措施
雨橙Orainge的博客
02-13 841
(3)将系统环境变量:LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true。则表示该项目引用了受影响的版本的 Log4j2,需要尽快查看项目代码,结合实际情况进行处理。2、使用 Logback 的项目,为了保险起见,心有余力还是升级以下,以防万一。如果是 maven 管理的项目,通过升级 log4j 的版本解决漏洞。对所有使用到 Log4j 组件的项目进行升级,使用最新版本。如果检查到例如下方的结果:(2
Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
smellycat000的专栏
10-08 252
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员发现此前 Apache 发布的安全更新未能正确修复已遭利用的 0day (CVE-2021-41773),Apache 软件基金...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
log4j2 JNDI注入漏洞问题处理
逗神的博客
12-13 3176
log4j2 JNDI注入漏洞问题处理
Apache相关的几个安全漏洞修复
LiXiaoJin's Blog
08-15 4617
最近网站被扫描出几个漏洞,大部分都是apache配置引起的,在此记录一下怎么修复。 1.检测到目标URL存在http host头攻击漏洞 头攻击漏洞,比较常见的漏洞修复方法也提供了 漏洞的详细描述: 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 解决办法: web应用程序应该使用SERVER_N.
apache漏洞修复(绿盟科技漏洞
热门推荐
qshpeng的专栏
02-19 1万+
apache 漏洞 检测到目标主机可能存在缓慢的http拒绝服务攻
全民日志组件 Apache Log4j2 爆发漏洞,赶紧加班修复
学Java,找哪吒
12-11 6674
一、日志漏洞,劲爆来袭 近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。 据说是阿里团队发现的,再次膜拜阿里爸爸。 漏洞详情: 打印日志时,如果是一段可执行的代码或超链,就会有被执行的可能,类似于sql注入,秒懂没? 这可能导致服务器被黑客控制,从而进行页面篡改、数据被盗、网络瘫痪等行为。 二、解决方案 1、民间解决方案: 升级到最
Apache log4j 史诗级漏洞、补救方法
supwuq的博客
12-10 2533
国家互联网应急中心https://www.cert.org.cn/publish/main/8/2021/20211210110550958546708/20211210110550958546708_.html 国家互联网应急中心都发布了,作为Java界日志工具的杠把子,Log4j和Logback几乎统一了江湖,如今被爆出"高危漏洞" 真的让开发人员连夜改修复漏洞漏洞的具体内容如图我就不多说了,,相关的企业肯定都收到了排查通知书。我们项目组也不另外,下面是整理的一些补救措施。 1:升级jar,pom
springboot排除日志
风力雾里
12-05 1254
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <exclusions> <exclusion> &l...
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
明哥的IT随笔
01-01 1084
大家好,我是明哥!近期 LOG4J 围绕JNDI的安全漏洞频繁暴雷,着实让小伙伴们忙活了一阵。本文我们就一起来看下,CDH/HDP/CDP 等大数据平台中如何快速应对 LOG4J 的 JN...
Log4j漏洞修复
yuzhiqiang_1的博客
12-10 6465
原因: log4j被爆安全漏洞,紧急进行版本修复。 过程: 项目中查找是否使用到log4j,发现在lombok中有使用log4j 2.11.2版本 解决方案: 在pom文件中找到lombok节点 添加排除属性<exclusions> 因在maven仓库中没有log4j-2.15.0-rc2.jar 。[jar下载地址](https://archiva-maven-storage-prod.oss-cn-beijing.aliyuncs.com/repository/central/#
apache log4j漏洞
07-29
您好!对于Apache Log4j漏洞,我可以提供一些相关信息。Apache Log4j是一个开源日志管理工具,用于在Java应用程序中记录和管理日志。然而,最近发现了一个安全漏洞,称为CVE-2021-44228(也被称为Log4Shell)。 该漏洞可能允许远程攻击者通过特殊构造的日志消息触发远程代码执行,从而导致服务器受到攻击。这个漏洞的严重性被评为非常高,因为它影响了广泛使用Log4j的众多应用程序。 如果您正在使用Apache Log4j,请确保及时升级到最新版本(目前是2.15.0),以修复漏洞。此外,您还可以采取一些其他安全措施,例如禁用JNDI查找功能或配置一个安全的日志消息过滤器来缓解潜在的风险。 请注意,这只是一种简要介绍,如果您对该漏洞有更深入的了解需求,请提供更具体的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值