解决Apache Log4j2漏洞通用方案(最新&亲测有效)

最新推荐文章于 2025-08-18 09:23:58 发布
原创 最新推荐文章于 2025-08-18 09:23:58 发布 · 1.4w 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #java #golang #spring boot #安全漏洞

本文详细讲述了2021年Apache Log4j2的重大漏洞,包括漏洞背景、影响范围和严重性,提供了解决方案,包括升级至安全版本2.17.0和临时配置建议,确保开发者快速响应和保护应用安全。

【亲测有效】

漏洞背景

2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.17.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.17.0-rc2 版本。

漏洞描述
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.17.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.17.0-rc2 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。【后面Apache团队也发现2.15.0和2.16.0版本也存在远程数据漏洞,最终升级为安全版本 2.17.0】
漏洞评级
Apache Log4j 远程代码执行漏洞——严重
漏洞状态
在这里插入图片描述
影响版本
经验证 2.17.0-rc1 版本存在绕过,实际受影响范围如下:Apache Log4j 2.x < 2.17.0-rc2
安全建议

  1. 排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
  2. 升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
  3. 可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。

解决方案

方案1(极力推荐)

此方式直接升级版本来解决,升级到安全版本(2.17.0)即可。要PS的是,我们引入安全版本依赖后,也要在starter-web启动器依赖里把Spring Boot自带的log依赖要排除掉(所谓铲草除根),因为Spring Boot封装的Apache Log4j2依赖暂时还没是最新版本,使用它可能会出现漏洞。重点来了,请参考如下代码
原依赖(存在漏洞的):

<!-- 引入log4j2依赖 -->  
<dependency> 
    <groupId>org.springframework.boot</groupId>  
    <artifactId>spring-boot-starter-log4j2</artifactId>  
</dependency>

【下面的 解决依赖1解决依赖2 均可解决漏洞,将上面原依赖替换为下面的其中一个依赖】

最低0.47元/天 解锁文章
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3507
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
Apache Log4j2漏洞修复方案
qq_43570767的博客
01-16 1144
Apache Log4j2 漏洞修复方案 + ESAPI
Log4j 漏洞修复和临时补救方法
12-14 3965
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x &lt;= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.logging.log4j&lt;/groupId&gt; &lt;artifa
使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
weixin_42540972的博客
12-11 2823
2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。 漏洞信息 漏洞编号 CNVD-2021-95914 漏洞等级 高危 影响范围 Apache Log4j 2 2.0 - 2.1
Apache Log4j2漏洞修复及安全加固方案
最新发布
weixin_35757191的博客
08-18 1076
CVE-2021-44228,也被称为Log4Shell漏洞,是Apache Log4j2 Java日志记录库中存在的一个远程代码执行漏洞。这个漏洞的严重性极高,因为它允许攻击者远程执行代码,从而完全控制受影响的系统。Apache Log4j2是一款广泛使用的Java日志框架,被众多应用和系统采用以记录日志信息。CVE-2021-44228漏洞影响了Log4j2的远程代码执行(RCE)能力,该漏洞允许攻击者通过日志记录消息远程执行任意代码。漏洞的严重性在于其广泛的应用范围和对系统的潜在控制能力。
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
2301_76225520的博客
04-18 1343
以及 LDAP即轻量级目录访问协议都是名称服务,不同的是 LDAP是一个协议,是和 HTTP 一样是通用的,而不止局限于 JAVA.比如用户对象可以有用户名、密码、邮件地址、角色等属性,计算机对象可以有IP地址、MAC地址、操作系统版本等属性。四个系列:< v1.14.2, < v1.13.5, < v1.12.7, < v1.11.6。而用户可以通过目录服务,针对打印机需求,根据分辨率等属性进行搜索获取符合条件的打印机对象。在名称服务中根据打印机名称获取打印机对象,并进行打印操作。
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 2244
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
Apache Log4j 2 远程代码执行漏洞详解
SimpleAstronaut的博客
12-11 1万+
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。
腾讯云容器安全已支持检Apache Log4j2漏洞
YDclub的博客
12-10 3701
犀引擎发现数万镜像受该漏洞影响,免费试用中
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 2万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 &lt;= Apache log4j2 &lt;= 2.14.1,只需检Java应用是否引入 log4j-api , log4j-core 两个j
Apache Log4j2漏洞修复
水布天
12-17 4124
Apache Log4j2漏洞修复1 背景2 影响范围3 检4 处理4.1 升级处理4.1.1 下载4.1.2 修复4.1.3 验证4.2 紧急处理5 参考 1 背景 2021年12月17日,Apache Log4j2 绝对是众多 Java 程序员提到的高频词之一:由于 Apache Log4j2 引发的严重安全漏洞,令一大批安全人员深夜修 Bug、发补丁。此次漏洞更是因为其触发简单、攻击难度低、影响人群广泛等特点,被许多媒体形容为“核弹级”漏洞。本文主要是针对漏洞修复的处理过程。 漏洞名词: CVE-2
log4j2 漏洞解决
weixin_43694038的博客
12-17 294
我项目中用的 Slf4j 理论上讲是不会被攻击的,但是springboot自动引用了 log4j2 so~ 解决: 版本管理 加上 &lt;!-- 解决 log4j 漏洞 2.15.0版本一下的漏洞--&gt; &lt;log4j2.version&gt;2.15.0&lt;/log4j2.version&gt; &lt;!-- 结束 --&gt; 再看 稳了 ...
Apache Log4j2 远程代码执行漏洞修复
sgs的博客
12-20 583
ApacheLog4j2 远程代码执行漏洞修复 漏洞描述 使用Apache Log4j2记录日志的时候,会使用这样的格式logger.info("params: {}", params);,进行组装,log4j2底层在进行组装的时候,如果发现传入的 params当中含有${} 字符串的话会进行替换的时候会执行 lookup的操作,所谓的 lookup的操作就是允许通过 JNDI检索变量。 通过 JNDI注入漏洞,黑客可以恶意构造特殊数据请求包,触发此漏洞,从而成功利用此漏洞可以...
Log4j2 重大漏洞解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
Apache Log4j2 远程代码执行漏洞修复步骤
飞一站的博客
12-10 3630
目录 Apache Log4j2 远程代码执行漏洞修复步骤 漏洞说明 修复步骤 1、下载源码zip包到本地 2、解压到本地 3、用IDEA打开项目 4、执行Maven Deploy,将log4j2修复的版本包安装到Nexus 5、修改项目中的pom.xml 6、试验证 Apache Log4j2 远程代码执行漏洞修复步骤 漏洞说明 参考链接:Apache Log4j2 远程代码执行漏洞分析 - 安全客,安全资讯平台 Apache Log4j2是一个基于Java的日志记录工具。由于
Apache log4j2 远程命令执行漏洞复现及修复方案
杨小熊学习笔记
12-14 6863
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: &lt;depend
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 3659
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
Log4j2突发重大漏洞解决方案
腾讯全栈-ITCJF
12-14 1万+
Log4j2突发重大漏洞解决方案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值