美文网首页安全
快速修复 Log4j “核弹级” 漏洞

快速修复 Log4j “核弹级” 漏洞

作者: sknfie | 来源:发表于2021-12-14 10:54 被阅读0次

Log4j漏洞

Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。

修复步骤

1、下载源码zip包到本地

下载地址:

  • github.com/apache/logging-log4j2/archive/refs/tags/log4j-2.15.0-rc2.zip

2、解压到本地

图片

3、用IDEA打开项目

图片

4、执行Maven Deploy,将log4j2修复的版本包安装到Nexus

1.修改toolchains-sample-win.xml文件的JDK安装路径:

<toolchain>
    <type>jdk</type>
    <provides>
      <version>1.8</version>
      <vendor>sun</vendor>
    </provides>
    <configuration>
      <jdkHome>C:\\Program Files\\Java\\jdk1.8.0_202</jdkHome>
    </configuration>
  </toolchain>
  <toolchain>
    <type>jdk</type>
    <provides>
      <version>9</version>
      <vendor>sun</vendor>
    </provides>
    <configuration>
      <jdkHome>C:\\Program Files\\Java\\jdk-9.0.4</jdkHome>
    </configuration>
  </toolchain>

2.执行Maven命令

mvn clean install -t ./toolchains-sample-win.xml -Dmaven.test.skip=true -f pom.xml

3.将生成安装在本地Jar包,安装到Nexus

注意事项
1、确保本地当前Java的环境为Java8,如果本地有个Java环境,请先修改Java环境为Java8,再重启IDEA。
2、确保本地有JDK9的环境
3、建议跳过test步骤,否则安装的时间太长了

5、修改项目中的pom.xml

排除掉通过其他依赖方式引入的log4j相关的包
手动引入前面安装的log4j包

<dependency> 
     <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-slf4j-impl</artifactId>
      <version>2.15.0</version>
      <scope>compile</scope>
      <exclusions>
        <exclusion>
          <artifactId>log4j-api</artifactId>
          <groupId>org.apache.logging.log4j</groupId>
        </exclusion>
        <exclusion>
          <artifactId>log4j-core</artifactId>
          <groupId>org.apache.logging.log4j</groupId>
        </exclusion>
      </exclusions>
    </dependency>
     <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-api</artifactId>
      <version>2.15.0</version>
      <scope>compile</scope>
    </dependency>
      <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-core</artifactId>
      <version>2.15.0</version>
      <scope>compile</scope>
      <exclusions>
        <exclusion>
          <artifactId>log4j-api</artifactId>
          <groupId>org.apache.logging.log4j</groupId>
        </exclusion>
      </exclusions>
    </dependency>

6、测试验证

@RunWith(SpringRunner.class)@SpringBootTest@Log4j2public class SpringTests {     @Test    public void test(){
        log.error("${jndi:ldap://127.0.0.1:1389/#Exploit}");
        log.error("${}","jndi:ldap://127.0.0.1:1389/#Exploit");
    }
}

相关文章

网友评论

    本文标题:快速修复 Log4j “核弹级” 漏洞

    本文链接:https://www.haomeiwen.com/subject/fpuefrtx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    安全

    关于我们|服务条款|联系我们|快速修复 Log4j “核弹级” 漏洞|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!