Log4j2 远程代码执行漏洞——总结

简介: 前两天网络有爆料log4j安全漏洞,安全大于天,于是也加入到这个和时间赛跑的临时事件中。对于安全漏洞网上有很多文章,内容都大同小异,不过针对于这件事小编下面的故事一定能让读者有"意外"收获。

一、背景介绍


前两天网络有爆料log4j安全漏洞,安全大于天,于是也加入到这个和时间赛跑的临时事件中。

对于安全漏洞网上有很多文章,内容都大同小异,不过针对于这件事小编下面的故事一定能让读者有"意外"收获。😁


二、思路


有了漏洞,那就解决呗,根据提示的文章抓紧处理。

然而,我们工程的pom文件内容不规范😖。。。

然而,我们工程引入了很多三方包,三方包中包含了log4j的内容😞。。。

然而,我用的工具是社区版,没有包依赖结构图😔。。。

小编的思路很清晰,但是面对以上问题,也是让我得到了很多锻炼的机会,话不多说直接到处理过程中。


三、过程


第一步:


我是看的如下文章,自认为对比来看,如下文章写的是小编认为最全面的一篇了。

【安全通报】Apache Log4j2 远程代码执行漏洞


第二步:


看完之后,先让运维进行了临时加入启动参数等内容的调整缓解了该问题🤔


第三步:


1.对于pom文件规范的内容项,通过编译器全局搜索是可以找到log4j所在的pom文件以及对应版本号的,修改了就可以了;

2.对于三方包中存在的log4j,以及pom文件中的版本号管理不是很规范的情况纯搜索就不行了;

(1)如果是tomcat部署的war包项目,linux按照:sudo find / -name "log4j-.jar"搜索即可(windows可自行在项目对应文件夹中搜索即可)

(2)如果是jar包,可以将jar包解压进行搜索

3.搜索到存在,如何定位具体在哪里?

(1)可以通过idea(旗舰版)中的maven dependences;eclipse中的Dependency Hierachy方式

(2)如果你用idea社区版,那么你可以通过maven命令来查看:mvn dependency:tree

4.找到之后如果是三方包中的可以通过pom的exclusion排除旧版本,重新引入新版本;


5.做完调整之后**一定要测试!一定要测试!一定要测试!**重要的事情说三遍


四、总结


收获💐💐💐


1.通过这个漏洞的修复明白了idea编译器社区版的一些功能不支持

2.突破了pom包结构最终还可以通过maven来展示出来的思路

3.再次训练了遇到问题如何快速选择最优解决方案,一步一步去处理

4.项目中规范的重要性!!!


提出的问题✨✨✨


1.以后如何及时获取相关安全问题?

2.项目如何低成本的向规范中过度?


五、升华


1.通过这个小故事,小例子,小编注册了白帽汇账号,关注了白帽汇公众号,以后就能及时get这类消息了

2.所谓解决问题之后要刻意去想如何规避问题,以及该信息的获取渠道来源来让自己更快的获取一手资料


这个信息爆炸的时代,谁能够更快的获取一手信息,那么谁就能够更快的规避问题,以及更多的帮助别人❄❄❄。

相关文章
|
安全 Java 开发者
刚折腾完Log4J,又爆Spring RCE核弹级漏洞
继Log4J爆出安全漏洞之后,又在深夜,Spring的github上又更新了一条可能造成RCE(远程命令执行漏洞)的问题代码,随即在国内的安全圈炸开了锅。有安全专家建议升级到JDK 9以上,有些专家又建议回滚到JDK 7以下,一时间小伙伴们不知道该怎么办了。大家来看一段动画演示,怎么改都是“将军"。
120 1
|
安全 Java Shell
Apache Log4j2 远程代码执行漏洞
Apache Log4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。
111 2
|
安全 druid Java
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
371 1
|
安全 Java 大数据
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
|
安全 网络协议 Java
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变,小白也能看懂
经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。
629 0
|
Kubernetes 安全 中间件
Traefik 如何保护应用免受 Log4j2 漏洞的影响
2021 年 12 月 10 日,Apache Log4j2 中的一个被称为 “Log4Shell” 的漏洞被发布(CVE-2021-44228),引入了严重的安全风险。作为 Java 应用程序日志库中的一个核心组件,其广泛用于著名的开源项目以及企业级后端应用程序。在本文中,我们将向您展示 Traefik 如何基于插件系统帮助我们的业务缓解此问题。
158 0
|
1月前
|
XML 安全 Java
【日志框架整合】Slf4j、Log4j、Log4j2、Logback配置模板
本文介绍了Java日志框架的基本概念和使用方法,重点讨论了SLF4J、Log4j、Logback和Log4j2之间的关系及其性能对比。SLF4J作为一个日志抽象层,允许开发者使用统一的日志接口,而Log4j、Logback和Log4j2则是具体的日志实现框架。Log4j2在性能上优于Logback,推荐在新项目中使用。文章还详细说明了如何在Spring Boot项目中配置Log4j2和Logback,以及如何使用Lombok简化日志记录。最后,提供了一些日志配置的最佳实践,包括滚动日志、统一日志格式和提高日志性能的方法。
271 30
【日志框架整合】Slf4j、Log4j、Log4j2、Logback配置模板
|
2月前
|
XML JSON Java
Logback 与 log4j2 性能对比:谁才是日志框架的性能王者?
【10月更文挑战第5天】在Java开发中,日志框架是不可或缺的工具,它们帮助我们记录系统运行时的信息、警告和错误,对于开发人员来说至关重要。在众多日志框架中,Logback和log4j2以其卓越的性能和丰富的功能脱颖而出,成为开发者们的首选。本文将深入探讨Logback与log4j2在性能方面的对比,通过详细的分析和实例,帮助大家理解两者之间的性能差异,以便在实际项目中做出更明智的选择。
301 3
|
3月前
|
Java
日志框架log4j打印异常堆栈信息携带traceId,方便接口异常排查
日常项目运行日志,异常栈打印是不带traceId,导致排查问题查找异常栈很麻烦。
|
4月前
|
XML Java Maven
log4j 日志的简单使用
这篇文章介绍了Log4j日志框架的基本使用方法,包括在Maven项目中添加依赖、配置`log4j.properties`文件以及在代码中创建和使用Logger对象进行日志记录,但实际打印结果中日志级别没有颜色显示。
log4j 日志的简单使用