Apache log4j 史诗级漏洞、补救方法

最新推荐文章于 2025-05-10 07:41:48 发布
最新推荐文章于 2025-05-10 07:41:48 发布
阅读量2.6k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
文章标签: apache log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/supwuq/article/details/121858903
本文概述了国家互联网应急中心关于Log4j漏洞的通报,介绍了开发者如何通过升级jar、替换jar、修改启动参数等措施来应对问题,并提到了项目组转向Logback的决定。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

国家互联网应急中心icon-default.png?t=LA92https://www.cert.org.cn/publish/main/8/2021/20211210110550958546708/20211210110550958546708_.html

国家互联网应急中心都发布了,作为Java界日志工具的杠把子,Log4j和Logback几乎统一了江湖,如今被爆出"高危漏洞" 真的让开发人员连夜改修复漏洞。漏洞的具体内容如图我就不多说了,,相关的企业肯定都收到了排查通知书。我们项目组也不另外,下面是整理的一些补救措施。

1:升级jar,pom.xml直接修改版本号,一直没有主动加载到,最后一查,kao,maven中央仓库里面还没收录这个jar包。。。截至我写稿,apache官方的maven也没有。。。

 

 

2:那只能你自己替换jar 了,但是又比较麻烦,每次打包发版啥的也不方便

不过这里也提供一个官方补丁的下载地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1icon-default.png?t=LA92https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1后面一看。。这个版本还是有问题,官方发布了第二个补丁版本

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2icon-default.png?t=LA92https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc23:项目启动的修改启动参数

-Dlog4j2.formatMsgNoLookups=true

这个主要是定位到漏洞的位置,JndiLookup.java 里面的这段代码

 不过,我已经决定转换logback了。

Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)复现
玄道的网安博客
01-28 5133
漏洞概述 Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 环境搭建 这里使用vulhub来搭建环境 https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645 进入目录并启动环境 cd vulhub-master/log4j/CVE-2017-5645/ docker-...
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。 2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
log4j漏洞
weixin_64359465的博客
04-01 991
即Log for Java,Apache的开源日志记录组件,使用非常广泛(log4j2等于log4j,在版本2发现的这个漏洞,因此叫log4j2)1.复现流程①启动HTTP②启动LDAP③执行Log4j2.分部分讲解:①什么是LDAP?轻量目录访问协议,即目录服务,用来存储目录数据的(目录数据库)应用场景:用户登录多个不同系统需要输入多组账号密码,非常麻烦通过LDAP用户可以实现登录入口的统一②JNDIJava命名和目录接口,即命名服务接口命名服务?
log4j漏洞复现
最新发布
m0_72199724的博客
05-10 861
Log4j是一个广泛使用的Java日志框架,具有高度灵活性、高效性和可扩展性,适用于调试和监控应用程序。然而,Log4j也暴露了多个安全漏洞,如CVE-2017-5645和CVE-2021-44228。CVE-2017-5645是一个反序列化漏洞,攻击者通过发送恶意payload触发代码执行,影响Log4j 2.8.2之前的2.x版本。CVE-2021-44228是一个远程代码执行(RCE)漏洞,攻击者利用JNDI协议加载远程恶意脚本,影响Log4j 2.0到2.15.0-rc2版本。漏洞复现表明,攻击者可
Apache Log4j 远程命令执行漏洞CVE-2021-44228
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-09 1488
Apache Log4j 远程命令执行漏洞,CVE-2021-44228 通过jndi协议远程调用恶意类执行命令
Log4j漏洞分析
a1290320893的博客
12-13 2727
先看问题: 原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq; 但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患; 进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
1. `apache-log4j-2.19.0-bin.tar.gz`:这是 Log4j 的 2.19.0 版本二进制包,包含了最新的稳定版本,适用于需要快速修复安全漏洞的用户。 2. `apache-log4j-2.12.4-bin.tar.gz`:这是适用于 Java 7 环境的 2.12.4 ...
Apache Log4j2漏洞复现
qq_62056583的博客
07-20 998
复现并分析【CVE-2021044228】Apache Log4j2 Server 反序列化命令执行漏洞,使用docker技术搭建漏洞环境,在实验环境中复现该漏洞
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)是对 Log4j 的升,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...
已修改过的log4j-1.2.17.jar
11-21
使用log4j的DailyRollingFileAppender时只有一个日志文件,修改DailyRollingFileAppender源码
log4j漏洞详解
weixin_61638307的博客
03-21 4621
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
Log4j2漏洞
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
log4j漏洞分析
weixin_47623655的博客
04-11 829
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4jApache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
Apache Log4j 漏洞验证
柳似烟的专栏
12-15 3548
首先下载JNDI-Injection-Exploit,该jar包实现RMI、LDAP服务功能,对外提供服务,且包含用于执行攻击命令的ExecTemplateJDK7.class和ExecTemplateJDK8.class模版文件。 下载包含漏洞版本的log4j的jar包 使用如下3个jar包文件 添加上面3个jar包到工程: 编写测试代码: import org.apache.log4j.Logger; public class Log4jDemo { /** ..
Log4j 2 (CVE-2021-44228)漏洞复现
Pluto.的博客
11-21 673
Log4j 2 (CVE-2021-44228)漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值