别问别人为什么,多问自己凭什么!
下方有惊喜留言必回,有问必答!
每天 08:15 更新文章,每天进步一点点...
Log4j 2发布于2014年。Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。Log4j 2是对Log4j的重大升级,完全重写了log4j的日志实现。Log4j 2提供了Logback中可用的许多改进,同时修复了Logback架构中的一些固有问题,目前已经更新到2.15.0版本。
Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。目前官方已在Apache Log4j 2.8.2版本之后修复了该漏洞。而再次爆出“史诗级”漏洞是由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器。Apache Log4j 2.x <= 2.14.1注:不受影响版本:Apache log4j-2.15.0-rc2建议排查Java应用是否引入log4j-api、log4j-core两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护。用户可以根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。项目中如果使用Maven工具,查看项目的pom.xml文件中是否存在下图所示的相关字段以及其他依赖包,若版本号为小于2.15.0,则存在该漏洞。注意:Apache Log4j 2再次爆漏洞风险!阿里云安全团队发出预警,发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,建议及时更新至Apache Log4j 2.15.0-rc2版本。升级Apache Log4j 2所有相关应用到最新的log4j-2.15.0-rc2版本,地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
spring-boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid
Apache Kafka
等相信很多公司都在自查修复log4j漏洞中,目前Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等,如用到请检查其中的log4j版本是否2.0 <= Apache log4j2 <= 2.14.1,如是建议尽早更新应用或者更新log4j版本。如果来不及更新Log4j 2版本修复,可通过下述方式紧急缓解问题。 -Dlog4j2.formatMsgNoLookups=truelog4j2.formatMsgNoLookups=TrueFORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true再次强调一次检查所有使用Log4j 2组件的项目系统,官方修复链接如下:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
众号“Java精选”所发表内容注明来源的,版权归原出处所有(无法查证版权的或者未注明出处的均来自网络,系转载,转载的目的在于传递更多信息,版权属于原作者。如有侵权,请联系,笔者会第一时间删除处理!
精品资料,超赞福利!
3000+ 道 BAT 大厂面试题在线刷,最新、最全 Java 面试题!
☆ Java进阶学习资料
☆ Java自学、进阶路线图免费领
技术交流群!
最近有很多人问,有没有读者&异性交流群,你懂的!想知道如何加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群”,即可免费加入交流群!