1. 首页
  2. 文章中心
  3. 算法

log4j2爆出漏洞,如何快速升级

86 阅读 0 评论
我是靠谱客的博主 轻松小丸子,最近开发中收集的这篇文章主要介绍log4j2爆出漏洞,如何快速升级,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

近日,Apache Log4j 的远程代码执行漏洞细节被公开,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 是一款开源的Log4j2 室一款开源的Java日志记录工具,大量的业务框架都使用了该组件。此次漏洞是用于Log4j2 提供的lookup功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现过程中,并未对输入进行严格的判断,从而造成漏洞的发生。

解决方法最有效的就是将其升级到2.15.0。

今天改造了公司的一个服务,因为是公司项目,不写太多的内容,只写几个修改的要点。

引入jar包:

<!-- 升级log4j到2.15.0版本,解决远程命令执行的bug -->
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-slf4j-impl</artifactId>
                <version>2.15.0</version>
</dependency>
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
                <version>2.15.0</version>
</dependency>
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
                <version>2.15.0</version>
 </dependency>
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-jcl</artifactId>
                <version>2.15.0</version>
</dependency>
<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-jul</artifactId>
                <version>2.15.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-web</artifactId>
    <version>2.15.0</version>
</dependency>
<dependency>
                <groupId>org.slf4j</groupId>
                <artifactId>jul-to-slf4j</artifactId>
                <version>1.7.32</version>
</dependency>

排除jar包

<exclusions>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-slf4j-impl</artifactId>
    </exclusion>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-core</artifactId>
      </exclusion>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-api</artifactId>
    </exclusion>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-jul</artifactId>
    </exclusion>
    <exclusion>
                        <groupId>org.apache.logging.log4j</groupId>
                        <artifactId>log4j-jcl</artifactId>
    </exclusion>
</exclusions>

验证:

使用命令:mvn dependency:tree | grep org.apache.logging.log4

如果返回的log4j版本均是2.15.0,就ok了

如果返回的log4j版本存在老本版或者全是老版本。则需要继续定位哪些jar引了老版本的log4j,然后按照参考上一步继续exclusion,这个工作还是比较难弄的,祝你早日拼到春天的到来~

最后

以上就是轻松小丸子为你收集整理的log4j2爆出漏洞,如何快速升级的全部内容,希望文章能够帮你解决log4j2爆出漏洞,如何快速升级所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(57)

相关文章

Apache Log4j 2 报高危漏洞,CODING 联手腾讯安全护卫软件安全导语Apache Log4j 2 漏洞详情使用 CODING 制品扫描,快速识别受影响制品如何修复漏洞强强联手,共同保卫客户软件安全
Apache Log4j 2 报高危漏洞,CODING 联手腾讯安全护卫软件安全导语Apache Log4j 2 漏洞详情使用 CODING 制品扫描,快速识别受影响制品如何修复漏洞强强联手,共同保卫客户软件安全
Log4j2核弹级漏洞线上修复方案!
Log4j2核弹级漏洞线上修复方案!
网安大事件丨Fortinet对Apache Log4j漏洞利用的全面复盘与防御
网安大事件丨Fortinet对Apache Log4j漏洞利用的全面复盘与防御
Log4j2漏洞复现
Log4j2漏洞复现
log4j2爆出漏洞,如何快速升级
log4j2爆出漏洞,如何快速升级
【漏洞复现】 Log4j2远程命令执行(CVE-2021-44228)
【漏洞复现】 Log4j2远程命令执行(CVE-2021-44228)
http请求头host字段作用
http请求头host字段作用
http 请求头字段
http 请求头字段

评论列表共有 0 条评论

立即
投稿
返回
顶部