springboot log4j2远程代码执行漏洞修复

最新推荐文章于 2024-01-16 10:36:28 发布
原创 最新推荐文章于 2024-01-16 10:36:28 发布 · 1k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#spring boot #java #log4j #log4j2漏洞
本文指导如何判断并修复2.0至2.16.0版本Apache Log4j2应用的安全问题,建议升级到2.17.0版本,通过排除旧依赖并添加新依赖来确保安全。

一、影响范围

2.0<=Apache Log4j 2.x <= 2.16.0 影响判断方式:用户只需排查Java应用是否引入log4j-api,log4j-core两个jar。若存在应用使用,极大可能会受到影响。

二、解决办法

官方发布了最新的2.17.0版本的包,只需要将版本升级到2.17.0即可!

详情请查看:https://logging.apache.org/log4j/2.x/maven-artifacts.html

1、排除log4j的依赖

         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions><!-- 去掉默认配置 -->
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

2、引入修复后的log4j版本依赖

        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.17.0</version>
        </dependency>

如果包含log4j-core依赖,同理进行排除和添加 2.17.0 版本的依赖即可!

Spring Boot Log4j2漏洞修复指南 (Log4J2 Vulnerability and Spring Boot)
★【World Of Moshow 郑锴】★
12-14 1万+
###一句话总结issue###如果你使用的是 Log4j 1.x、Logback 或者其他日志框架,这次就可以幸免于难。如果你使用Spring Boot`默认日志`,也是没有问题的,因为默认是`Commons Logging`。 ###一句话solution###升级springboot到最新`v2.5.8`和`v2.6.2`以及后续版本,确保安全;如果单独依赖了log4j2日志,请强制使用最新版本`v2.17.1`。
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4306
spring-boot-starter-log4j2漏洞修复方式
SpringBoot 项目中使用Log4j2详细(避坑)
热门推荐
RyanDon的博客
09-10 5万+
以下大部分内容转载整理自https://blog.csdn.net/vbirdbest/article/details/71751835,感谢vbirdbest的相关知识分享 首先,认识一下三胞胎 log4japache实现的一个开源日志组件 logback同样是由log4j的作者设计完成的,拥有更好的特性,用来取代log4j的一个日志框架,是slf4j的原生实现 Log4j2是...
SpringBoot日志升级:Log4j2
天然玩家的博客
12-21 1258
Log4j2日志升级:2.17.0
Log4j2 升级到2.17.1踩过的坑
Harry的博客
02-08 8451
目录 1. 如果你用的是spring boot2.x 怎么升级方便 2.Caused by: java.lang.NoSuchMethodError: com.lmax.disruptor.dsl.Disruptor 3. Log4j2 error-ERROR StatusLogger Unrecognized format specifier 版本 Library Current Upgraded Lo4j2 related jar * 2.17.1 ..
springboot如何修复log4j2远程代码执行漏洞CVE-2021-44228(一行代码解决)
城北荆无命的博客
12-15 1325
log4j2漏洞被爆出来这两天忙着修复负责的各系统的漏洞,一般maven的非springboot项目直接升级版本即可、但是springboot项目中就算你使用的是logback来输出日志,仍然会存在漏洞的可能,log4j-api这个包是在spring-boot-starter-logging中,只要你使用的是2.0版本以上的springboot就会有此漏洞。 废话少说了直接上代码, 版本一: 既然log4j的相关依赖在spring-boot-starter-logging中那么直接用进行排除然后引入高本.
Log4j2最近被爆出巨大漏洞
文盲青年的博客
12-11 4088
一、背景 近日,知名sl4j日志规范实现框架log4j2被爆出巨大漏洞,可被黑客利用jndi机制执行非法命令,获取服务器权限等,不幸的是很多知名框架也用了log4j2,我们熟知的如Apache Struts2Apache Solr、Apache Druid、Apache Flink… 相信很多互联网厂此刻正瑟瑟发抖,紧急修复。 国家网络应急中心也紧急发布了处理意见:关于Apache Log4j2存在远程代码执行漏洞的安全公告 很多服务使用了log4j2框架,并且打了API入参日志、三方交互日志等,正在被黑
Springboot 2.5 2.6修复log4j漏洞
人工智能与大数据
12-14 1382
一、漏洞简述 Apache Log4j2 是一款开源的 Java 日志记录工具,大 量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提 供的 lookup 功能造成的,该功能允许开发者通过一些协议 去读取相应环境中的配置。但在实现的过程中,并未对输入 进行严格的判断,从而造成漏洞的发生。 二、影响范围 受影响的版本如下: Log4j 版本 是否受影响 2.0<=2.15.rc1 是 存在风险的版本包括: Spring-Boot-strate
log4j2远程代码执行漏洞根本原因分析 | log4j bug 复现
清云逸仙的博客
12-14 2615
一、 背景 近年来技术开源热潮席卷全球,诸多信息领域大厂及开发者争相拥抱开源,将其推上了前所未有的高度。 然而,最近全球知名开源日志组件 Apache Log4j2 被阿里团队曝出严重高危漏洞。该漏洞让黑客不用知道服务器账号,就可以做到如入无人之境,进而对你的服务做任何你可以想象到的破坏。 Apache Log4j2 这一漏洞被称为 " 史诗级 " 高危漏洞,服务器业务(Steam、iCloud、Minecraft 等)被严重影响。尽管后续 Apache ...
log4j2 远程执行代码漏洞修复-Log4j2
抽象的螺旋
12-13 1969
概述 此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成不安全的远程代码执行修复参考 bug大概的执行逻辑: 黑客在自己的客户端启动一个带有恶意代码的rmi服务,通过服务端的log4j漏洞,向服务端的jndi context lookup的时候连接自己的rmi服务器,服务端连接rmi服务器执行lookup的时候会通过rmi查询到该地址指向的引用并且本地实例化这个类,所以在类中的构造方法或者静态代码块中写入逻辑,就会在服务端(jndi rmi过程中的客户端)实例
快速修复Log4j “核弹级” 远程攻击漏洞
码农code之路
12-12 683
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/weixin_48990070/article/details/121861553Apache Log4j2 远程代码...
解决Spring Boot项目中的Log4j核弹漏洞
DevRevolt的博客
09-03 482
Spring Boot项目中使用Log4j的开发人员应该尽快升级到修复漏洞的版本并检查配置文件,确保没有恶意或可疑的配置。如果您的项目中使用的是Log4j 2.x版本,那么您的应用程序很可能受到漏洞的影响。如果您的项目中使用的是受漏洞影响的Log4j版本,您应该尽快升级到安全的版本。在升级Log4j版本后,您需要检查项目中的相关配置文件,确保没有使用受漏洞影响的功能或配置。请注意,您可能还需要更新其他使用Log4j的相关库或插件,以确保整个项目中的所有依赖项都使用修复后的版本。
日志框架Log4j
qq_21344887的博客
09-06 350
日志
Apache Log4j2远程代码执行漏洞
F2444790591的博客
07-08 8611
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
Spring-Boot项目 修复log4j漏洞
李康的博客
07-25 972
Spring-Boot项目 修复log4j漏洞。通过替换日志组件来修复漏洞
spring boot解决log4j2漏洞升级问题
07-14 1355
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升级的版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了。这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。情况二:使用spring-boot-dependencies依赖进行引用。
Log4j2远程代码执行漏洞(CVE-2021-44228)
wangzhifei1的博客
01-16 4080
CVE-2021-44228,被广泛称为“Log4Shell”,是一个高危的远程代码执行漏洞,影响了Apache Log4j 2,这是一个在Java应用程序中广泛使用的日志记录库。
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 3730
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 2340
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
终于,Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞
m0_65618219的博客
12-23 1531
Spring Boot 2.6.2 发布 为了应对及解决 Log4j2 的核弹级漏洞Spring Boot 会在 2021/12/23 左右发布新版: 这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了: 同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线: 2.6.x(新发布) ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值