正文 

当前位置: 首页 > IT > java教程

log4j2爆出漏洞,如何快速升级(代码片段)

纵横千里,捭阖四方 纵横千里,捭阖四方     2023-02-25     711

关键词:

近日,Apache Log4j 的远程代码执行漏洞细节被公开,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 是一款开源的Log4j2 室一款开源的Java日志记录工具,大量的业务框架都使用了该组件。此次漏洞是用于Log4j2 提供的lookup功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现过程中,并未对输入进行严格的判断,从而造成漏洞的发生。

解决方法最有效的就是将其升级到2.15.0。

今天改造了公司的一个服务,因为是公司项目,不写太多的内容,只写几个修改的要点。

引入jar包:

<!-- 升级log4j到2.15.0版本,解决远程命令执行的bug -->
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-slf4j-impl</artifactId>
                <version>2.15.0</version>
</dependency>
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
                <version>2.15.0</version>
</dependency>
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
                <version>2.15.0</version>
 </dependency>
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-jcl</artifactId>
                <version>2.15.0</version>
</dependency>
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-jul</artifactId>
                <version>2.15.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-web</artifactId>
    <version>2.15.0</version>
</dependency>
<dependency>
                <groupId>org.slf4j</groupId>
                <artifactId>jul-to-slf4j</artifactId>
                <version>1.7.32</version>
</dependency>

排除jar包

<exclusions>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-slf4j-impl</artifactId>
    </exclusion>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-core</artifactId>
      </exclusion>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-api</artifactId>
    </exclusion>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-jul</artifactId>
    </exclusion>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-jcl</artifactId>
    </exclusion>
</exclusions>

验证:

使用命令:mvn dependency:tree | grep org.apache.logging.log4

如果返回的log4j版本均是2.15.0,就ok了

如果返回的log4j版本存在老本版或者全是老版本。则需要继续定位哪些jar引了老版本的log4j,然后按照参考上一步继续exclusion,这个工作还是比较难弄的,祝你早日拼到春天的到来~

springboot2中如何使用log4j2记录日志(代码片段)

...说日志,接下来我们要讲是前段时间爆出核弹漏洞的Log4j2。虽然出了漏洞,让很多小伙伴痛苦了1-2周(加班),但不可否认的是Log4j2依然是目前性能最好的日志框架。所以,当Logback性能上无法支撑的时候&#... 查看详情

log4j2远程执行代码漏洞如何攻击?又如何修复(代码片段)

Log4j2远程执行代码漏洞如何攻击?又如何修复12月9日晚,ApacheLog4j2反序列化远程代码执行漏洞细节已被公开,ApacheLog4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利... 查看详情

快速修复log4j2远程代码执行漏洞步骤(代码片段)

...p包到本地解压到本地用IDEA打开项目执行MavenDeploy,将log4j2修复的版本包安装到Nexus修改项目中的pom.xml测试验证ApacheLog4j2远程代码执行漏洞修复步骤漏洞说明ApacheLog4j2是一个基于Java的日志记录工具。由于ApacheLog4j2某些功能存... 查看详情

紧急!log4j2再再爆雷:刚升级,又连爆“核弹级”远程数据泄露!v2.17.0横空出世。。。...(代码片段)

上一篇:程序员裸辞全职接单一个月的感触最近的Log4j2漏洞想必大家都知道了,11月9日晚开源项目ApacheLog4j2的一个远程代码执行漏洞的利用细节被公开,随着ApacheLog4j2.15.0正式版发布,该漏洞已得到解决。然而ÿ... 查看详情

快速修复log4j2远程代码执行漏洞步骤(代码片段)

...ff1a;https://blog.csdn.net/weixin_48990070/article/details/121861553/ApacheLog4j2远程代码执行漏洞修复步骤漏洞说明ApacheLog4j2是一个基于Java的日志记录工具。由于ApacheLog4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远... 查看详情

log4j2杀不死java(代码片段)

...0c;同时也有人坚称Java活得好好的。最近,又有报道称log4j2漏洞将再次“杀死”Java。我们曾开玩笑说,Java博物馆就好像是一个墓园,记录了每一次“死亡”的经过。作者:ErikCostlow译者:弯月链接:https://fo... 查看详情

log4j2杀不死java(代码片段)

...0c;同时也有人坚称Java活得好好的。最近,又有报道称log4j2漏洞将再次“杀死”Java。我们曾开玩笑说,Java博物馆就好像是一个墓园,记录了每一次“死亡”的经过。作者:ErikCostlow译者:弯月链接:https://fo... 查看详情

网传spring爆出更大漏洞?别再炒作了…

之前刚刚过去的log4j2漏洞还历历在目,这次来了个更大的……云舒老大在29日发微博称,出了个超级大漏洞。有吃瓜群众就问:“这个瓜有log4j2那么好吃吗?”云舒大佬的回复是:“更大”。​之后,又有... 查看详情

思科爆出严重漏洞!黑客可远程执行任意代码(代码片段)

????????关注后回复 “进群” ,拉你进程序员交流群????????文章来源丨安全圈近日,网络设备巨头思科已经推出补丁来解决影响其小型企业VPN路由器的关键漏洞,远程攻击者可能会滥用这些漏洞来执行任意代码,... 查看详情

log4j2漏洞复现与利用(代码片段)

文章目录漏洞简介log4j2教程环境搭建测试运行专业名词解释及其payload分析利用工具简介:log4j2漏洞验证(弹出计算器版)被攻击者的log4j2打印函数示例攻击者执行操作漏洞复现log4j2漏洞验证(DNSlog版)DNSlog如... 查看详情

log4j爆出核弹级漏洞!到底有多厉害?(代码片段)

...入网络安全史册上的漏洞,到底是怎么一回事!log4j2不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出现的问题。... 查看详情

log4j2漏洞信息最新跟进(代码片段)

...言  一直在解决漏洞,连续发版,从最开始的Log4j2.15.0到现在最新2.17.0,大大小小的版本已经发了10个了,影响的周期已经接近两周了,目前还没看到收尾的迹象。。这次应该是爆出来的第4个漏洞了:•C... 查看详情

分析并复现apache核弹级漏洞,利用log4j2使目标服务器执行任意代码(代码片段)

12月9日晚间,ApacheLog4j2被曝光存在严重漏洞,可以随意执行任意远程代码,本贴将详细分析事故原因及实战复现此漏洞!一.事件详情1.事件经过2021年12月9日,国内多家机构监测到Apachelog4j存在任意代码执行漏... 查看详情

利用codesec代码审核平台深度扫描log4j2漏洞(代码片段)

Log4j2安全漏洞(编号CVE-2021-44228)事件已经过去一个多月了,但它造成的危害影响却非常严重,各大软件安全厂商在第一时间针对此漏洞紧急做了补丁。虽然漏洞最早是由阿里发现的,但实际上它是一个0day漏... 查看详情

log4j2高危漏洞cnvd-2021-95914复现及分析(代码片段)

...f0c;国家信息安全漏洞共享平台(CNVD)收录了ApacheLog4j2远程代码执行漏洞(CNVD-2021-95914)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用细节已公开,Apache官方已发布补丁修... 查看详情

log4j2漏洞执行(代码片段)

Log4j2漏洞代码复现代码如下:packagepoc;importjava.io.Serializable;importjava.rmi.Remote;publicclassCalcTestimplementsRemote,SerializablestatictrySystem.err.println("远程代码开始执行了...");Runtimeruntime=Runtime.getRuntime();StringosName=System.getProperty(&#... 查看详情

从0到1带你深入理解log4j2漏洞(代码片段)

0x01前言最近IT圈被爆出的log4j2漏洞闹的沸沸扬扬,log4j2作为一个优秀的java程序日志监控组件,被应用在了各种各样的衍生框架中,同时也是作为目前java全生态中的基础组件之一,这类组件一旦崩塌将造成不可估... 查看详情

log4j升级为log4j2(无需改动代码)(代码片段)

操作:1.删掉项目中存在的Log4j1.x的jar包,添加log4j2的jar包;2.添加log4j和log4j2的连接包log4j-1.2-api-2.x.x.jar,注意不是log4j-api-2.x.x.jar;3.添加log4j2的配置文件log4j2.xml即可,log4j升级log4j2升级成功.扩展:如果原项目中用的是slf4j打印日志,那... 查看详情