Apache Log4j2高危漏洞解决方案(新)

最新推荐文章于 2025-02-18 11:24:10 发布
最新推荐文章于 2025-02-18 11:24:10 发布
阅读量2.2k 收藏
点赞数
文章标签: java python 大数据 spring kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qianshangding0708/article/details/121881934
版权
本文介绍了Apache Log4j2的安全漏洞,该漏洞可能导致远程代码执行。受影响的包括Spring Boot、Struts2、Solr、Druid和Flink等。目前官方建议的临时解决方案包括修改JVM参数、Log4j2配置或系统环境变量。建议关注官方更新,等待修复版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

更多内容关注微信公众号:fullstack888

漏洞级别

严重

影响版本

Apache Log4j 2.x < 2.15.0-rc2

影响范围

spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。此次漏洞是由阿里云安全团队向Apache官方报告的。

解决方案

目前最新的结论还是0day,官方发布的两个版本2.15.0-rc1和最新的2.15.0-rc2都被绕过,官方没有升级包可用。暂时可以通过如下三种解决方案解决该漏洞:

(1) 修改项目 jvm 参数:-Dlog4j2.formatMsgNoLookups=true

(2) 修改log4j2配置参数:log4j2.formatMsgNoLookups=True

(3)修改系统环境变量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置 为 true

注:可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。<

最低0.47元/天 解锁文章
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4739
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Apache Log4j2模拟漏洞复现及解决方案
qrainly的博客
12-13 3911
上周五有关开源日志框架Log4j2高危漏洞预警发出后,这几天各大互联网公司都在加班加点做紧急漏洞处理。这是个什么漏洞呢?有多大危害,搞得互联网任人心惶惶!
Log4j2 漏洞解决方案
m0_46459413的博客
12-29 567
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
Apache Log4j2 核弹级漏洞
qq_37300107的博客
12-16 2496
近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。 漏洞详情: Apache Log4j 远程代码执行漏洞 严重程度: 严重 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置 漏洞情况分析: Apache Log4j是一个基于Java的日志记录组件.
Apache Log4j2 漏洞解决办法
半夏_2021的博客
04-16 3566
log4j2 漏洞解决办法
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
openLooKeng社区Apache Log4j2高危安全漏洞修复完成,建议用户升级
openLooKeng的博客
12-15 2349
近日,openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228),并成功进行修复。详细方案如下,建议所有用户升级。 Apache Log4j2远程代码执行漏洞修复解决方案漏洞描述】 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并引入了大量丰富的特性。该日志框架被广泛地用于中间件、开发框架与Web应用中,用来记录日志信息。 由于组件存在 Java JNDI 注入漏洞,当程序将用户输入的数据记入日志
高危漏洞 log4j漏洞,产生原因和解决方案
qq_54088719的博客
12-12 3万+
2021年12月09日,360CERT监测发现Apache Log4j 2存在JNDI远程代码执行,漏洞等级:**严重**,漏洞评分:**9.8**。
#渗透测试#批量漏洞挖掘#Apache Log4j反序列化命令执行漏洞
soc的博客
02-18 1366
检测逻辑方面,可能需要检查目标是否开放了Log4j SocketServer的端口,默认是4560。所以脚本需要尝试连接目标的4560端口,然后发送特定的探测数据,观察响应。如果端口开放但无响应,或者有特定异常,可能判断存在漏洞。或者通过版本检测,比如如果HTTP响应头里包含Log4j 1.x的版本信息,可以辅助判断。
Apache log4j2漏洞
m0_63645854的博客
06-13 656
本文介绍了log4j2的远程代码执行漏洞
Log4j2 重大漏洞解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
04-15 1434
LDAP 目录服务是由目录数据库和一套访问协议组成的系统,目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,我们可以理解为是一个为可以查询、浏览和搜索而优化的分布式数据库,它呈树状结构组织数据,简单点理解:就是有一个类似于字典的数据源,可以通过LDAP协议,lookup查询传一个name进去,就能获取到数据。RMI是Java中的一种远程方法调用机制,使用RMI,可以在不同的Java虚拟机(JVM)之间进行对象之间的方法调用。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
Apache Log4j2 漏洞详谈
infosec的博客
12-16 5938
源于Apache Log4j2这个漏洞的描述很多,也有很多的解法。开这个博的目的就是想分析一下漏洞具体是如何被利用的,这个大黑锅下面都有哪些坑。 最近由阿里安全团队爆出来的Apache Log4j2漏洞,可以说是霸占了大部分网安人的朋友圈。同时一张热图也被传来传去,就是下面这个图片。 由于Apache Log4j2组件应用的普及性,导致了大部分的应用都受到波及。同时我们也需要知道并不是所有的log功能都是通过Apache Log4j2来实现的,其实我们还有很多选择。众所周知Log4j2Apache 家的
Apache Log4j高危漏洞,堪比“永恒之蓝”
海贼王的博客
12-11 705
闻资讯 被全球广泛应用的组件Apache Log4j被曝出一个已存在在野利用的高危漏洞,攻击者仅需一段代码就可远程控制受害者服务器。几乎所有行业都受到该漏洞影响,包括全球多家知名科技公司、电商网站等,漏洞波及面和危害程度均堪比 2017年的“永恒之蓝”漏洞。 安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。据了解,该漏洞影响范围大,利用方式简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器,90%以上基于
Apache Log4j2 漏洞修复及复现
JavaPub
12-11 8520
文末漏洞细节 文章目录前言修复建议漏洞细节 前言 这几天 Apache Log4j2 远程代码执行漏洞刷屏了整个互联网行业,公司也发生了这个问题,做出了紧急修复。 介绍 相信每一个技术人都有听过这款日志框架的大名。Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 https://github.com/apache/lo
记一次:Apache Log4j2 漏洞复现(详细过程)
Lisoning的博客
10-09 3842
Apache Log4j2漏洞复现及相关知识原理
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞(1)
04-15 1340
目录系统可以用来存储和查找与对象相关的元数据信息,不仅提供命名到对象的映射,还提供对象的属性信息,方便管理和检索,并提供对象属性操作执行的功能,总体来说,目录服务是名称服务的扩展,它提供了更丰富的元数据信息,提高了对象的管理和检索能力。不同的数据源有不同的查找方式,而且JNDI也只是一个上层封装,在它下面有很多种具体的数据源,如LDAP,DNS,NIS,NDS,RMI。,它类似于字典,即输入name查询对象包含的属性,所以JNDI支持命名引用的方式,可以远程下载一个class文件,然后加载起来构建对象。
Apache Log4j2远程代码执行漏洞排查及修复手册
宏伟
12-31 3395
https://www.cnvd.org.cn/webinfo/show/7146
Log4j2 Jndi 漏洞原理解析
课嗨教育的专栏
01-01 2657
漏洞解析、复现 Log4j2的框架设计非常优秀,各种功能均是以内部插件的方式进行的扩展实现,比如我们经常在Xml中定义的<Appenders>,实际对应的则是如下的AppendersPlugin对象 而我们在Xml Appenders下所定义的<Console>实际对应的则是如下的ConsoleAppender对象 看到这里应该就知晓了,我们在配置文件中所配置的各种元素实际上对应的均是Log4j2中的各种插件对象,Xml在被解析过程当中,会将你所配置的各种元素名..
log4j2漏洞缓解
最新发布
03-15
### 如何缓解 Log4j2 漏洞的最佳实践 为了有效应对 Log4j2 中存在的安全漏洞,尤其是像 CVE-2021-44228 这样的高危漏洞(即“Log4Shell”),可以采取一系列措施来降低风险并保护系统免受攻击。以下是详细的缓解方案: #### 更至最版本 确保使用的 Apache Log4j 库是最的稳定版本。官方已经发布了修复该漏洞版本,建议升级到 **Log4j 2.17.0 或更高版本**[^4]。这些更不仅解决了已知的安全问题,还改进了性能和功能。 #### 配置 JNDI 查找禁用 如果无法立即升级到最Log4j 版本,则可以通过配置文件或环境变量的方式禁用 JNDI 查找功能。具体方法如下: - 设置 `LOG4J_FORMAT_MSG_NO_LOOKUPS` 环境变量为 `true`。 - 修改 `log4j2.component.properties` 文件,添加以下内容: ```properties log4j2.formatMsgNoLookups=true ``` 此设置可防止恶意输入触发远程代码执行的风险[^5]。 #### 使用工具扫描依赖项 利用专门开发的工具检测项目中的易受攻击组件。例如,`log4j-sniffer` 是一款用于扫描存档文件以查找脆弱 Log4j 版本的实用程序[^3]。通过定期运行此类工具,可以快速识别潜在威胁并及时处理。 #### 实施网络防护策略 除了修补应用程序本身外,还需加强外部防御机制。部署 Web 应用防火墙 (WAF) 并定义规则阻止包含 `${jndi:` 的请求头或其他异常模式的数据包进入服务器端口范围之内。 #### 定期审查日志记录行为 分析现有代码库内的日志调用情况,避免将不受信任的用户数据直接嵌入消息模板中。改写成参数化形式或者采用其他更安全的日志框架替代品作为临时过渡手段直到彻底解决问题为止[^1]。 ```java // 不推荐的做法:容易引发 RCE 攻击 logger.info("User input: " + userInput); // 推荐做法:使用占位符代替拼接字符串 logger.info("User input: {}", userInput); ``` 以上措施结合起来构成了针对 Log4j2 漏洞的一套全面而有效的缓解计划。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值