温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

SpringCloud项目的log4j2漏洞怎么解决

发布时间:2022-04-11 11:02:27 来源:亿速云 阅读:189 作者:iii 栏目:开发技术

这篇文章主要介绍了SpringCloud项目的log4j2漏洞怎么解决的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇SpringCloud项目的log4j2漏洞怎么解决文章都会有所收获,下面我们一起来看看吧。

 步骤如下:

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

SpringCloud项目的log4j2漏洞怎么解决

  • 下面为上边对应版本号的具体依赖

    <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.15.0</version>
        </dependency>

        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>2.15.0</version>
        </dependency>
  • 修改完后点击右侧的maven刷新按钮

SpringCloud项目的log4j2漏洞怎么解决

  • 如何验证版本号是否修改成功呢,见下图

SpringCloud项目的log4j2漏洞怎么解决

  • 临时性解决方法

临时性缓解措施(任选一种,但是注意,只有 >=2.10.0 版本才可以用,老版本不支持这个选项)

&ndash; 在 jvm 参数中添加 -Dlog4j2.formatMsgNoLookups=true &ndash; 系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true &ndash; 创建 log4j2.component.properties 文件,文件中增加配置 log4j2.formatMsgNoLookups=true

  • 攻击者排查

1.攻击者在利前通常采 dnslog 式进扫描、探测,对于常利 式可通过应系统报错志中的"javax.naming.CommunicationException:javax.naming.NamingException:

problem generating object using object factory"、Error looking up JNDI resource"关键字进排查。

2.流量排查:攻击者的数据包中可能存在:jndi:ldap字 样,推荐使奇安信神站应安全云防护系统全流量或 WAF 设备进检索排查。

3.志排查:可使 https://github.com/Neo23x0/log4shell-detector 开源项 ,对 WEB 应志进检查。

Mon 06 Mon 13 Mon 20 已完成 进行中 计划一 计划二 现有任务 Love is just a word I only say one word

知名的Java日志组件Apache Log4j2就刷爆了圈子。它被发现了一个 0 Day 漏洞,该Log4J2 漏洞可以让黑客通过日志记录远程执行代码(Remote Code Execution)。由于这个日志库被普遍使用,而这个漏洞又非常容易使用,所以造成的风险也非常严重,让人不得不提高防范。就连不懂代码的客户都来问系统是否存在这个问题。

关于“SpringCloud项目的log4j2漏洞怎么解决”这篇文章的内容就介绍到这里,感谢各位的阅读!相信大家对“SpringCloud项目的log4j2漏洞怎么解决”知识都有一定的了解,大家如果还想学习更多知识,欢迎关注亿速云行业资讯频道。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI