Apache log4j 史诗级漏洞、补救方法

最新推荐文章于 2025-05-10 07:41:48 发布
最新推荐文章于 2025-05-10 07:41:48 发布
阅读量2.6k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
文章标签: apache log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/supwuq/article/details/121858903
本文概述了国家互联网应急中心关于Log4j漏洞的通报,介绍了开发者如何通过升级jar、替换jar、修改启动参数等措施来应对问题,并提到了项目组转向Logback的决定。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

国家互联网应急中心icon-default.png?t=LA92https://www.cert.org.cn/publish/main/8/2021/20211210110550958546708/20211210110550958546708_.html

国家互联网应急中心都发布了,作为Java界日志工具的杠把子,Log4j和Logback几乎统一了江湖,如今被爆出"高危漏洞" 真的让开发人员连夜改修复漏洞。漏洞的具体内容如图我就不多说了,,相关的企业肯定都收到了排查通知书。我们项目组也不另外,下面是整理的一些补救措施。

1:升级jar,pom.xml直接修改版本号,一直没有主动加载到,最后一查,kao,maven中央仓库里面还没收录这个jar包。。。截至我写稿,apache官方的maven也没有。。。

 

 

2:那只能你自己替换jar 了,但是又比较麻烦,每次打包发版啥的也不方便

不过这里也提供一个官方补丁的下载地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1icon-default.png?t=LA92https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1后面一看。。这个版本还是有问题,官方发布了第二个补丁版本

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2icon-default.png?t=LA92https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc23:项目启动的修改启动参数

-Dlog4j2.formatMsgNoLookups=true

这个主要是定位到漏洞的位置,JndiLookup.java 里面的这段代码

 不过,我已经决定转换logback了。

Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)复现
玄道的网安博客
01-28 5134
漏洞概述 Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 环境搭建 这里使用vulhub来搭建环境 https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645 进入目录并启动环境 cd vulhub-master/log4j/CVE-2017-5645/ docker-...
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。 2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
log4j漏洞
weixin_64359465的博客
04-01 991
即Log for Java,Apache的开源日志记录组件,使用非常广泛(log4j2等于log4j,在版本2发现的这个漏洞,因此叫log4j2)1.复现流程①启动HTTP②启动LDAP③执行Log4j2.分部分讲解:①什么是LDAP?轻量目录访问协议,即目录服务,用来存储目录数据的(目录数据库)应用场景:用户登录多个不同系统需要输入多组账号密码,非常麻烦通过LDAP用户可以实现登录入口的统一②JNDIJava命名和目录接口,即命名服务接口命名服务?
log4j漏洞复现
最新发布
m0_72199724的博客
05-10 861
Log4j是一个广泛使用的Java日志框架,具有高度灵活性、高效性和可扩展性,适用于调试和监控应用程序。然而,Log4j也暴露了多个安全漏洞,如CVE-2017-5645和CVE-2021-44228。CVE-2017-5645是一个反序列化漏洞,攻击者通过发送恶意payload触发代码执行,影响Log4j 2.8.2之前的2.x版本。CVE-2021-44228是一个远程代码执行(RCE)漏洞,攻击者利用JNDI协议加载远程恶意脚本,影响Log4j 2.0到2.15.0-rc2版本。漏洞复现表明,攻击者可
Apache Log4j 远程命令执行漏洞CVE-2021-44228
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-09 1489
Apache Log4j 远程命令执行漏洞,CVE-2021-44228 通过jndi协议远程调用恶意类执行命令
Log4j漏洞分析
wbo
12-14 2万+
Log4j漏洞源码分析 这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。 具体涉及到的入口类是log4j-core-xxx.jar中的org.apache.logging.log4j.core.lookup.StrSubstitutor这个类。 原因是Log4j提供了Lookups的能力(关于Lookups可以点这里去看官方文档的介绍),简单来说就是变量替换的能力。 在Log4j将要输出的日
Log4j史诗漏洞,我们这些小公司能做些什么?
2501_90249203的博客
01-18 813
Apache Log4j2是一款优秀的Java日志框架,与Logback平分秋色,大量主流的开源框架采用了Log4j2,像Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。所以,这样一个底层框架出现问题,影响面可想而知。影响范围:2.0
集成了log4j的SpringBoot下的漏洞复现
mxy2404830的博客
01-05 572
前景提要 Log4j史诗漏洞这几天闹的沸沸扬扬,让我也想一探究竟,到底是怎么触发的。 2. 搭建一个集成Log4j的SpringBoot项目 根据spring官网的指引,创建一个springboot项目,然后对pom文件进行一个修改 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <a
log4j漏洞详解
weixin_61638307的博客
03-21 4621
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
Log4j2漏洞
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
已修改过的log4j-1.2.17.jar
11-21
使用log4j的DailyRollingFileAppender时只有一个日志文件,修改DailyRollingFileAppender源码
log4j漏洞分析
weixin_47623655的博客
04-11 829
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4jApache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
Apache Log4j 漏洞验证
柳似烟的专栏
12-15 3548
首先下载JNDI-Injection-Exploit,该jar包实现RMI、LDAP服务功能,对外提供服务,且包含用于执行攻击命令的ExecTemplateJDK7.class和ExecTemplateJDK8.class模版文件。 下载包含漏洞版本的log4j的jar包 使用如下3个jar包文件 添加上面3个jar包到工程: 编写测试代码: import org.apache.log4j.Logger; public class Log4jDemo { /** ..
Log4j 2 (CVE-2021-44228)漏洞复现
Pluto.的博客
11-21 673
Log4j 2 (CVE-2021-44228)漏洞复现
Log4j远程代码执行漏洞
派大星的博客
09-21 2645
Log4j远程执行漏洞原理分析
log4j反序列化漏洞分析(CVE-2019-17571)
杭州七先生的个人博客
04-07 1万+
前言 Apache Log4j反序列化漏洞 影响版本 1.2.4 <= Apache Log4j <= 1.2.17 漏洞复现 idea新建一个项目,如下图所示: log4j: import org.apache.log4j.net.SimpleSocketServer; public class log4j { public static void main(String[] args) { System.out.println("Listening on port
log4j反序列化漏洞
g1345444的博客
02-19 1489
log4j2是apache下的java应用常见的开源日志库,是一个就Java的日志记录工具。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。需要说明的是,这里忽略了具体格式化时的逻辑,因为块数据格式化时使用的逻辑可能不同,而且与漏洞无关,重要的只有处理jndi表达式那块。406行的循环是一个重要的逻辑,最终的触发点也是在这个循环中产生的,这里的。为空,所以不会进这里的if语句;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值