溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

SpringCloud項(xiàng)目的log4j2漏洞怎么解決

發(fā)布時(shí)間:2022-04-11 11:02:27 來(lái)源:億速云 閱讀:184 作者:iii 欄目:開(kāi)發(fā)技術(shù)

這篇文章主要介紹了SpringCloud項(xiàng)目的log4j2漏洞怎么解決的相關(guān)知識(shí),內(nèi)容詳細(xì)易懂,操作簡(jiǎn)單快捷,具有一定借鑒價(jià)值,相信大家閱讀完這篇SpringCloud項(xiàng)目的log4j2漏洞怎么解決文章都會(huì)有所收獲,下面我們一起來(lái)看看吧。

 步驟如下:

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

SpringCloud項(xiàng)目的log4j2漏洞怎么解決

  • 下面為上邊對(duì)應(yīng)版本號(hào)的具體依賴(lài)

    <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.15.0</version>
        </dependency>

        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>2.15.0</version>
        </dependency>

  • 修改完后點(diǎn)擊右側(cè)的maven刷新按鈕

SpringCloud項(xiàng)目的log4j2漏洞怎么解決

  • 如何驗(yàn)證版本號(hào)是否修改成功呢,見(jiàn)下圖

SpringCloud項(xiàng)目的log4j2漏洞怎么解決

  • 臨時(shí)性解決方法

臨時(shí)性緩解措施(任選一種,但是注意,只有 >=2.10.0 版本才可以用,老版本不支持這個(gè)選項(xiàng))

&ndash; 在 jvm 參數(shù)中添加 -Dlog4j2.formatMsgNoLookups=true &ndash; 系統(tǒng)環(huán)境變量中將LOG4J_FORMAT_MSG_NO_LOOKUPS 設(shè)置為 true &ndash; 創(chuàng)建 log4j2.component.properties 文件,文件中增加配置 log4j2.formatMsgNoLookups=true

  • 攻擊者排查

1.攻擊者在利前通常采 dnslog 式進(jìn)掃描、探測(cè),對(duì)于常利 式可通過(guò)應(yīng)系統(tǒng)報(bào)錯(cuò)志中的"javax.naming.CommunicationException:javax.naming.NamingException:

problem generating object using object factory"、Error looking up JNDI resource"關(guān)鍵字進(jìn)排查。

2.流量排查:攻擊者的數(shù)據(jù)包中可能存在:jndi:ldap字 樣,推薦使奇安信神站應(yīng)安全云防護(hù)系統(tǒng)全流量或 WAF 設(shè)備進(jìn)檢索排查。

3.志排查:可使 https://github.com/Neo23x0/log4shell-detector 開(kāi)源項(xiàng) ,對(duì) WEB 應(yīng)志進(jìn)檢查。

Mon 06 Mon 13 Mon 20 已完成 進(jìn)行中 計(jì)劃一 計(jì)劃二 現(xiàn)有任務(wù) Love is just a word I only say one word

知名的Java日志組件Apache Log4j2就刷爆了圈子。它被發(fā)現(xiàn)了一個(gè) 0 Day 漏洞,該Log4J2 漏洞可以讓黑客通過(guò)日志記錄遠(yuǎn)程執(zhí)行代碼(Remote Code Execution)。由于這個(gè)日志庫(kù)被普遍使用,而這個(gè)漏洞又非常容易使用,所以造成的風(fēng)險(xiǎn)也非常嚴(yán)重,讓人不得不提高防范。就連不懂代碼的客戶都來(lái)問(wèn)系統(tǒng)是否存在這個(gè)問(wèn)題。

關(guān)于“SpringCloud項(xiàng)目的log4j2漏洞怎么解決”這篇文章的內(nèi)容就介紹到這里,感謝各位的閱讀!相信大家對(duì)“SpringCloud項(xiàng)目的log4j2漏洞怎么解決”知識(shí)都有一定的了解,大家如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI