全网最新Log4j 漏洞修复和临时补救方法是什么
导读:本文共2379字符,通常情况下阅读需要8分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要: 1. 漏洞评级及影响版本Apache Log4j 远程代码执行漏洞 严重影响的版本范围:Apache Log4j 2.x <= 2.14.12.log4j2 漏洞简单演示创建maven工程引入jar包依赖<dependencies><dependency><groupId>org.apache.logging.log... ...
目录
(为您整理了一些要点),点击可以直达。
Apache Log4j 远程代码执行漏洞 严重
影响的版本范围:Apache Log4j 2.x <= 2.14.1
创建maven工程
引入jar包依赖
编写log4j2配置文件
创建测试类Log4j2Demo
运行结果
[INFO] Building log4j2-bug-test 1.0-SNAPSHOT
[INFO] --------------------------------[ jar ]---------------------------------
[INFO]
[INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---
2021-12-11 11:44:14,654 INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 1.140 s
[INFO] Finished at: 2021-12-11T11:44:14+08:00
[INFO] ------------------------------------------------------------------------
在这里面我们可以看到使用${}可以实现漏洞的注入,假设username为用户登录的输入框,即可从这个输入框进行注入,既可查看到一些后台系统信息,如果有黑客在使用JNDI编写恶意代码注入的话,后果是非常严重的。
修改log4j2版本
据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本,主要是那个log4j-core包,漏洞就是在这个包里产生的,如果你的程序有用到,尽快紧急升级(java项目 fhadmin.cn)。
临时解决方案
1.设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”
2.设置“log4j2.formatMsgNoLookups=True”
3.系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”
4.关闭对应应用的网络外连,禁止主动外连
全网最新Log4j 漏洞修复和临时补救方法是什么的详细内容,希望对您有所帮助,信息来源于网络。