Log4j CVE-2021-44228 漏洞及Spring Boot解决方案

最新推荐文章于 2025-04-01 15:25:21 发布
最新推荐文章于 2025-04-01 15:25:21 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: Web开发安全 文章标签: spring boot log4j CVE-2021-44228
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/oscar999/article/details/122006275
版权
本文介绍了Log4j的重大安全漏洞CVE-2021-44228,详细说明了漏洞原理,并提供了针对Spring Boot项目的解决步骤,包括通过更新Log4j版本、修改Maven配置等方法来避免远程代码执行风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Log4j 的2 到 2.14 版本最近爆出了一个比较大的漏洞,漏洞编号是CVE-2021-44228。本篇对该漏洞进行简单介绍, 并介绍Spring Boot项目如何解决该漏洞。

CVE-2021-44228 漏洞

  • 漏洞简介: 攻击者可以远程执行代码。(RCE远程代码攻击, Remote Code Execution)
  • 漏洞细节: 输入包含恶意服务器的JNDI查找是, Log4j 解析JNDI 查找, 连接到服务器,并从服务器下载序列化的Java代码,在反序列化的时候执行这些恶意代码。

该漏洞的详细介绍,参考 CVE-2021-44228

Log4j 的解决方法

Log4j 在发现该方案之后, 马上发布了新的版本, 在新版本种通过“默认禁用了JNDI访问, 消息查找功能完全删除”的方式来解决该漏洞, 针对不同的JDK版本, 发布了对应的Log4j 版本, 具体的是:

  • Java 7 : 发布了2.12.2 ,
  • Java 8:发布了2.16.0 
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Log4j CVE-2021-44228后续-CVE-2021-45046,CVE-2021-45105
oscar999的专栏
12-20 1353
Log4j 发现远程代码攻击漏洞CVE-2021-44228 )之后, Apache 随即发布了 2.15.0版本, 但是发布的这个版本在线程上下文查找依旧存在远程代码攻击漏洞CVE-2021-45046),于是随后又发布了 2.16.0版本; 不幸的是,两天后,Log4j 又被发现了DOS(拒绝服务)的漏洞CVE-2021-45105), 于是又发布了2.17.0 版本, 截止目前位置, Log4j 在Java 8的**安全版本是2.17.0 **。
springboot如何修复log4j2远程代码执行漏洞CVE-2021-44228(一行代码解决)
城北荆无命的博客
12-15 1191
log4j2的漏洞被爆出来这两天忙着修复负责的各系统的漏洞,一般maven的非springboot项目直接升级版本即可、但是springboot项目中就算你使用的是logback来输出日志,仍然会存在漏洞的可能,log4j-api这个包是在spring-boot-starter-logging中,只要你使用的是2.0版本以上的springboot就会有此漏洞。 废话少说了直接上代码, 版本一: 既然log4j的相关依赖在spring-boot-starter-logging中那么直接用进行排除然后引入高本.
SpringBoot漏洞大全
m0_67403188的博客
08-02 7164
前段时间做渗透发现了一个很眼熟的页面长这个样子页面log是去世界最大的同性交友网github.com搜了一下发现了一个十分详细的文章存在大量接口信息泄露成功交差。
Java之SpringBoot漏洞利用姿势合集总结详细版,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
04-01 1422
Spring 框架,江湖人称 Java 界的瑞士军刀,功能那是相当强大,目标是提供一个高效且可扩展的开发环境。。,提供了依赖注入(IoC)、面向切面编程(AOP)、数据访问和事务管理等神兵利器。Spring MVC。DispatcherServlet、注解驱动、视图解析,三大特性让你轻松驾驭 Web 开发。,基于 Spring Framework,自动配置、内嵌服务器、快速启动,让你告别繁琐配置。自动配置、内嵌 Tomcat、独立运行、Starter 依赖,四大金刚护体。
Apache Log4j 2 ​远程代码执行漏洞 ( CVE-2021-44228 )​
itisauto2008的专栏
12-14 2513
Microsoft 继续分析2021 年 12 月 9 日披露的与 Apache Log4j(许多基于 Java 的应用程序中使用的日志记录工具)相关的远程代码执行漏洞( CVE-2021-44228 )​。该漏洞是一种远程代码执行漏洞,可以让未经身份验证的攻击者获得对目标系统的完全访问权限。当易受攻击的 Log4j 2 组件解析和处理特制字符串时,可以触发它。这可能通过任何用户提供的输入发生。 该漏洞编号为CVE-2021-44228,称为“Log4Shell”,影响使用 Log4j 2 版本 2.0.
SpringBoot漏洞
热门推荐
weixin_51151498的博客
01-19 1万+
spring漏洞
springboot漏洞
weixin_43873557的博客
02-06 7320
Spring介绍 Spring 是java web里非常常见的组件了, 自然也是研究的热门, 好用的漏洞主要是Spring Boot Actuators 反序列化 ➢ Actuators介绍 Spring Boot 基本上是 Spring 框架的扩展。Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默
SpringBoot相关漏洞
Java团长的博客
06-19 5621
本文是 Spring Boot 相关漏洞的学习资源,仅作为安全研究和授权测试使用,不要用于非法活动。这个GitHub项目从信息泄露、远程代码执行两大方面,总结了 16 个案例,提供了详细的...
存在 Log4Shell 漏洞CVE-2021-44228)的 Spring Boot 示例应用.zip
11-14
该资源内项目源码是个人的课程设计、毕业设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过严格测试运行成功才上传的,请放心下载使用...
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
点火三周的专栏
12-12 5899
重要的提示 : 要了解 Elastic 当前如何评估我们产品中此漏洞的内部风险,请参阅此处 概述 这篇博文提供了 CVE-2021-44228 的摘要,并为 Elastic Security 用户提供了检测,以发现他们环境中对该漏洞的主动利用。 随着我们了解更多信息,我们将持续提供更多的更新。截至 2021 年 12 月 11 日星期六,此版本是准确的。可以通过Log4j2的安全页面直接调查来自 Apache 的更新。 CVE-2021-44228 (Log4Shell) 摘要 Lo...
CVE-2021-44228 Log4j2 远程代码执行漏洞
震山的博客
08-23 820
简单分析,扯不上深度,还望大佬指正
Apache Pulsar 针对 Log4j2 漏洞 (CVE-2021-44228) 的解决方案
Apache Pulsar
12-16 430
作者:Matteo Merli,Apache Pulsar PMC 主席,StreamNative CTO近日,由于Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶...
Spring Boot的各种漏洞,值得好好研究一番!
程序猿DD
06-30 1904
本文是 Spring Boot 相关漏洞的学习资源,仅作为安全研究和授权测试使用,不要用于非法活动。这个GitHub项目从信息泄露、远程代码执行两大方面,总结了多个案例,提供了详细的步骤对...
SpringBoot漏洞利用
SuperherRo的博客
11-06 3552
Spring是Java EE编程领域的一个轻量级开源框架,而spring boot是基于Sping优化而来的全新java框架 在日常的项目中经常会遇到使用Spring Boot框架的网站,博主对该框架的常见利用方式进行了整理。此文中的漏洞环境均在本地搭建。 本文聚焦于在黑盒角度中如何发现漏洞、利用漏洞
刚刚公布的 Log4J 的史诗级安全漏洞 CVE-2021-44228 你处理了吗?
weixin_45987961的博客
12-15 5508
发生什么事了 Log4J 是一个应用非常广泛的Java库,就在前两天的2021年12月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。 漏洞编号为CVE-2021-44228 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。 零日漏洞( zero-day )通常是指还没有补丁的安全漏洞。零日漏洞利用(zero-day exploit)的程序对网络安全具有..
Spring Boot中的安全漏洞防护
微赚开发者技术分享博客
06-29 1227
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!随着软件应用程序的复杂性增加,安全漏洞成为开发者不可忽视的重要问题。Spring Boot提供了强大的安全性配置选项和集成能力,帮助开发者有效地保护应用程序免受常见的安全攻击。通过Spring Security,我们可以实现复杂的认证和授权逻辑,包括基于角色的访问控制、OAuth认证、单点登录等。Spring Boot提供了一些内置的安全特性和配置选项,帮助开发者加固应用程序的安全性。
spring框架漏洞整理(Springboot漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 4423
2016年爆出的一个漏洞Springboot漏洞利用条件 至少知道一个触发 springboot 默认错误页面的接口及参数名 利用方法 Springboot漏洞步骤一:找到一个正常传参处 比如发现访问/article?id=xxx,页面会报状态码为 500 的错误:Whitelabel Error Page,则后续 payload 都将会在参数 id 处尝试。 Springboot漏洞步骤二:执行 SpEL 表达式
Log4j2安全漏洞复现及解决
此文档似乎是在尝试复现Log4j2的一个特定版本()中的bug,这通常指的是CVE-2021-44228,也被称为“Log4Shell”漏洞。这是一个远程代码执行(RCE)漏洞,允许攻击者通过操纵日志记录输入来注入并执行恶意代码。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oscar999

送以玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值