突发!Log4j 再爆“史诗级”漏洞,Kafka、Elasticsearch等均受影响,速查!修复!...

点击上方“Java精选”,选择“设为星标”

别问别人为什么,多问自己凭什么!

下方有惊喜留言必回,有问必答!

每天 08:15 更新文章,每天进步一点点...

Log4j 2发布于2014年。Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。Log4j 2是对Log4j的重大升级,完全重写了log4j的日志实现。Log4j 2提供了Logback中可用的许多改进,同时修复了Logback架构中的一些固有问题,目前已经更新到2.15.0版本。

漏洞简介

Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。目前官方已在Apache Log4j 2.8.2版本之后修复了该漏洞。

而再次爆出“史诗级”漏洞是由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

漏洞危害

攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器。

漏洞影响范围

Apache Log4j 2.x <= 2.14.1

注:不受影响版本:Apache log4j-2.15.0-rc2

漏洞修复措施

建议排查Java应用是否引入log4j-api、log4j-core两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护。

用户可以根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。

5de1c095189cbd1368ab4dd289c8910a.png

项目中如果使用Maven工具,查看项目的pom.xml文件中是否存在下图所示的相关字段以及其他依赖包,若版本号为小于2.15.0,则存在该漏洞。

97d4bfa92ebc6f7a4885343b5e82bca7.png

注意:Apache Log4j 2再次爆漏洞风险!阿里云安全团队发出预警,发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,建议及时更新至Apache Log4j 2.15.0-rc2版本。

升级Apache Log4j 2所有相关应用到最新的log4j-2.15.0-rc2版本,地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

升级已知受影响的应用及组件,如:

spring-boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid
Apache Kafka
等

相信很多公司都在自查修复log4j漏洞中,目前Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等,如用到请检查其中的log4j版本是否2.0 <= Apache log4j2 <= 2.14.1,如是建议尽早更新应用或者更新log4j版本。

紧急缓解措施

如果来不及更新Log4j 2版本修复,可通过下述方式紧急缓解问题。

1)修改jvm参数

-Dlog4j2.formatMsgNoLookups=true

2)修改配置

log4j2.formatMsgNoLookups=True

3)将系统环境变量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

Log4j官方修复方案

再次强调一次检查所有使用Log4j 2组件的项目系统,官方修复链接如下:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

众号“Java精选”所发表内容注明来源的,版权归原出处所有(无法查证版权的或者未注明出处的均来自网络,系转载,转载的目的在于传递更多信息,版权属于原作者。如有侵权,请联系,笔者会第一时间删除处理!

------ THE END ------

779ed463253148db14c49d7b2d12ba8d.png精品资料,超赞福利!b3fcf356dab23ce1fa226ae728d8fd53.png

>Java精选面试题<
3000+ 道 BAT 大厂面试题在线刷,最新、最全 Java 面试题!

☆ Java进阶学习资料
 Java自学、进阶路线图免费领

53845667667a31eba28e9370f4066b08.png

fb9f9b60838c17612d976c11a8c4c82e.png

期往精选  点击标题可跳转

为什么很多人不建议使用实数作为 HashMap 的 Key?

“光鲜”背后,一个月薪 12000 的北京程序员的真实生活!

切记,永远不要在你的代码中使用 “User” 这个单词!

干掉 IDEA:JetBrains 推出“下一代 IDE”轻量级开发工具 Fleet!

我这样写代码,比直接使用 MyBatis 效率提高了 100 倍!

同事使用 Redis 不当导致应用卡爆,我真是醉了...

并发模拟的四种方式+工具,超级实用!

ELK 不香了,我用更简洁、高效的企业级日志平台 Graylog!

fdfc96c70b446e49dbfbbc4aefd108a4.png技术交流群!7c6d66c23814f0a50bef276b9eb49db8.png

最近有很多人问,有没有读者&异性交流群,你懂的!想知道如何加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群”,即可免费加入交流群!

文章有帮助的话,在看,转发吧!

Java精选
关注 关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kafka-2.10-0.8.1.1
12-22
kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8.1.1kafka_2.10-0.8
log4j-kafka:提供一个将标准log4j日志输出到kafka的工具
06-25
log4j-kafka 提供一个将标准log4j日志输出到kafka的工具。 客户端配置: ##log4j.properties #####kafka topic名称 log4j.appender.kafka.topic=log4jtest #####kafka broker地址 log4j.appender.kafka.brokerList=Hadoop2-302E9-1-5:9092,Hadoop3-302E9-1-6:9092 ###配置完成后,调用com.opensure.test.Main进行测试。
log4j-core-2.12.1-API文档-中文版.zip
07-13
赠送jar包:log4j-core-2.12.1.jar; 赠送原API文档:log4j-core-2.12.1-javadoc.jar; 赠送源代码:log4j-core-2.12.1-sources.jar; 赠送Maven依赖信息文件:log4j-core-2.12.1.pom; 包含翻译后的API文档:log4j-core-2.12.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.logging.log4j:log4j-core:2.12.1; 标签:apache、logging、log4j、core、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
jmeter.backendlistener.kafka-1.0.1.jar
08-23
jmeter后端侦听器kafka 一个JMeter插件,使您可以将测试结果发送到Kafka服务器
kafka 解决log4j:ERROR Failed to rename错误解决办法错误的jar包
10-31
log4j:ERROR Failed to rename
修复 Apache Kafka 中的远程代码执行漏洞CVE-2023-25194
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
11-30 535
Kafka Connect 中发现可能的 RCE 和拒绝服务问题。更新 阿帕奇软件基金会 (ASF) 已解决了一个漏洞,该漏洞可被利用来使用 Kafka Connect 发起远程代码执行 (RCE) 攻击。该关键漏洞于 2 月 8 日公布,被追踪为 CVE-2023-25194。Apache Kafka Connect 是 Apache Kafka 的一个免费开源组件,是系统、数据库和键值存储之间数据集成的中心枢纽。
Elasticsearch 解决 log4j 安全漏洞 - 升镜像
咸鱼老罗的博客
12-15 3307
概论 Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方已发布正式安全公告及版本,漏洞编号:CVE-2021-44228,漏洞被利用可导致服务器被入侵等危害。 公司 ES 使用 Log4j 2 组件,存在安全问题,升 ES 镜像中的 Log4j 2 版本解决该问题。 原理 java 项目只用替换编译出来的 jar 包就可以。 快速教程 下载 log4j-core-2.16.jar 和 log4j-api-2.16.jar https://repo.maven.apache.org/ma
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1507
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本回会影响Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 8791
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 3万+
2021年12月8号出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
kafka处理超大消息的配置 org.apache.kafka.common.errors.RecordTooLargeException
01-07
在使用 canal 和kafka处理数据同步时canal日志提示如下异常: java.lang.RuntimeException: java.util.concurrent.ExecutionException: org.apache.kafka.common.errors.RecordTooLargeException: The request included a message larger than the max message size the server will accept   原因是消息过大无法处理 第一步:修改 canal/conf/canal.properties配置
org.apache.kafka kafka-log4j-appender 的jar包下载
11-03
<groupId>org.apache.kafka <artifactId>kafka-log4j-appender <version>0.10.2.0 </dependency>
Kafkalog4j2漏洞影响集群安全
扬_帆_起_航
12-01 423
虽然Kafka不会此事件影响,但是Kafka客户端日志输出需要用户单独引用配置,所以大家还是注意一下是否使用影响版本的log4j2.x进行日志打印。
Log4j 被曝核弹漏洞,开发者炸锅了
Andrew_Chenwq的博客
12-13 3541
知名的开源项目Apache Log4j出事情了 2021年12月9日,该项目被暴露出严重的安全漏洞。攻击者只需将特殊代码传输到目标机器,即可触发漏洞,并自由执行任何远程代码来控制目标机器! 说实话,光听到这个消息我就觉得很可怕。因为Log4j作为Java著名的日志记录框架,不仅被等众多自主研发项目使用,还被Redis、KafkaElasticsearch、ApacheFlink、Apachedruid等众多明星项目作为基本框架使用。你可以想象这个漏洞影响有多大,甚至被很多媒体称为核弹漏洞漏洞
Log4j执行漏洞修复教程
github_36774378的博客
12-16 5957
Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的别,让使用者能够更加细致地控制日志的生成过程。
高危漏洞 log4j漏洞,产生原因和解决方案
qq_54088719的博客
12-12 3万+
2021年12月09日,360CERT监测发现Apache Log4j 2存在JNDI远程代码执行,漏洞:**严重**,漏洞评分:**9.8**。
漏洞处置方案】Apache Log4j2远程代码执行漏洞&对外技术支持服务
weixin_40418457的博客
12-10 3511
昨日,Apache Log4j2 成为知名漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。火线安全为防止其继续扩大影响范围,特发布针对该漏洞的处置方案。 漏洞描述 Apache Log4j 2是对Log4j的升,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限
深入解析著名的阿里云Log4j 漏洞
悦分享
07-24 3252
ApacheLog4j是一个基于。
安卓开发button控件的使用
最新发布
lxl12138的博客
03-24 552
1. 在布局文件中添加 Button:打开你的布局文件(例如 activity_main.xml),将 Button 控件添加到布局中。2. 在 Java 代码中获取并操作 Button:在对应的 Activity 类中,可以通过 findViewById 方法获取布局中定义的 Button 控件,并对其进行操作,例如设置点击事件监听器。在上述示例中,通过 findViewById 找到 ID 为"button"的 Button 控件,并为其添加了一个点击事件监听器。// 点击按钮后的操作。
flink代码中如何设置Flink 的配置文件中,将 flink.logging.log4j2.appender.kafka
06-09
在 Flink 中,可以通过设置 `flink-conf.yaml` 文件来配置 Flink 的日志输出。在该文件中,可以设置 `flink.logging.log4j2.appender.kafka` 属性来指定使用 Kafka Appender 进行日志输出。具体的配置方式如下: 1. 在 `flink-conf.yaml` 文件中添加以下配置: ``` flink.logging.log4j2.appender.kafka.type = Kafka flink.logging.log4j2.appender.kafka.name = Kafka flink.logging.log4j2.appender.kafka.topic = log_topic flink.logging.log4j2.appender.kafka.layout.type = JsonLayout flink.logging.log4j2.appender.kafka.layout.compact = true flink.logging.log4j2.appender.kafka.property.bootstrap.servers = localhost:9092 ``` 上述配置中,`flink.logging.log4j2.appender.kafka.type` 属性指定了使用 Kafka Appender 进行日志输出,`flink.logging.log4j2.appender.kafka.name` 属性指定了 Appender 的名称,`flink.logging.log4j2.appender.kafka.topic` 属性指定了 Kafka Topic 的名称,`flink.logging.log4j2.appender.kafka.layout.type` 属性指定了日志输出的格式,这里使用了 JsonLayout,`flink.logging.log4j2.appender.kafka.property.bootstrap.servers` 属性指定了 Kafka Broker 的地址。 2. 在 Flink 代码中启动流处理任务时,可以通过 `StreamExecutionEnvironment.getConfig()` 方法获取 ExecutionConfig 对象,然后通过 `ExecutionConfig.setGlobalJobParameters()` 方法将 `flink-conf.yaml` 文件中的配置加载到 ExecutionConfig 对象中,如下所示: ``` StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment(); ExecutionConfig config = env.getConfig(); config.setGlobalJobParameters(ParameterTool.fromPropertiesFile("/path/to/flink-conf.yaml")); ``` 上述代码中,`ParameterTool.fromPropertiesFile()` 方法可以将 `flink-conf.yaml` 文件中的配置加载到一个 ParameterTool 对象中,然后通过 `ExecutionConfig.setGlobalJobParameters()` 方法将该对象中的配置加载到 ExecutionConfig 对象中。 这样就可以使用 Kafka Appender 进行日志输出了。需要注意的是,Kafka Appender 的具体配置方式可以根据实际需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
写文章

热门文章

  • Nginx报错“The plain HTTP request was sent to HTTPS port”问题解决办法 137493
  • 使用 JS 实现页面跳转的几种方式总结,小菜一碟! 76716
  • 2018年JAVA基础面试题和高级面试题总结 37950
  • CAS票据之ST与TGT过期策略详细说明 24936
  • 真香!超全开放 API 免费调用,告别付费,太强了! 23947

分类专栏

  • 面试资料 7篇
  • mysql 5篇
  • 统一认证系统 16篇
  • spring 21篇
  • javaEE 27篇
  • hbase 2篇
  • spark 1篇
  • redis 7篇
  • nginx 4篇
  • 其他 22篇
  • windows系统 7篇
  • storm 1篇
  • Google浏览器 1篇
  • PHP 1篇

最新评论

  • 8种专坑同事SQL写法,性能降低100倍,不来看看!

    CSDN-Ada助手: 不知道 MySQL入门 技能树是否可以帮到你:https://edu.csdn.net/skill/mysql?utm_source=AI_act_mysql

  • 开源!!!100 多个常用 API 数据接口免费分享!建议收藏!

    har01d: 接口大全?广告大全!

  • 你见过最垃圾的代码长什么样?19 种垃圾代码片段!

    小欧的BUG日志: 有什么问题?

  • 你见过最垃圾的代码长什么样?19 种垃圾代码片段!

    19CX: getCount() == 0 ? false : true 这是我在真是开发中遇到的表情包

  • CAS集群部署基于Redis缓存配置详细方案

    Java精选: 太久远了,现在都改版了。不都是springboot+cas吗 很简单的拉

您愿意向朋友推荐“博客详情页”吗?

  • 强烈不推荐
  • 不推荐
  • 一般般
  • 推荐
  • 强烈推荐
提交

最新文章

  • 面试官问:Java过滤removeIf和filter有什么区别?
  • 飞书也开始大裁员了。。。
  • 去了一家不到20人的IT公司后,真的是大开眼界。。。
2024
03月 24篇
02月 2篇
01月 14篇
2023年365篇
2022年537篇
2021年528篇
2020年123篇
2019年8篇
2018年2篇
2017年18篇
2016年8篇
2015年6篇

目录

目录

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43元 前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值

代做工资流水公司南京办理企业对公流水廊坊代做薪资银行流水黄冈贷款银行流水费用包头做自存流水南通打印背调银行流水深圳银行对公流水代办信阳制作企业对公流水青岛工资流水app截图代开桂林自存银行流水查询德阳办理在职证明大连薪资银行流水代办苏州收入证明查询北京代做房贷工资流水株洲打印个人银行流水咸阳背调银行流水代办德阳车贷工资流水台州制作在职证明大连流水账单公司株洲收入证明价格台州自存流水办理金华办工资流水宿迁转账银行流水代做长春车贷工资流水 图片湛江查询对公账户流水上饶背调流水报价唐山做背调银行流水汕头查签证流水苏州打印薪资银行流水烟台个人流水报价石家庄开企业对公流水香港通过《维护国家安全条例》两大学生合买彩票中奖一人不认账让美丽中国“从细节出发”19岁小伙救下5人后溺亡 多方发声卫健委通报少年有偿捐血浆16次猝死汪小菲曝离婚始末何赛飞追着代拍打雅江山火三名扑火人员牺牲系谣言男子被猫抓伤后确诊“猫抓病”周杰伦一审败诉网易中国拥有亿元资产的家庭达13.3万户315晚会后胖东来又人满为患了高校汽车撞人致3死16伤 司机系学生张家界的山上“长”满了韩国人?张立群任西安交通大学校长手机成瘾是影响睡眠质量重要因素网友洛杉矶偶遇贾玲“重生之我在北大当嫡校长”单亲妈妈陷入热恋 14岁儿子报警倪萍分享减重40斤方法杨倩无缘巴黎奥运考生莫言也上北大硕士复试名单了许家印被限制高消费奥巴马现身唐宁街 黑色着装引猜测专访95后高颜值猪保姆男孩8年未见母亲被告知被遗忘七年后宇文玥被薅头发捞上岸郑州一火锅店爆改成麻辣烫店西双版纳热带植物园回应蜉蝣大爆发沉迷短剧的人就像掉进了杀猪盘当地回应沈阳致3死车祸车主疑毒驾开除党籍5年后 原水城县长再被查凯特王妃现身!外出购物视频曝光初中生遭15人围殴自卫刺伤3人判无罪事业单位女子向同事水杯投不明物质男子被流浪猫绊倒 投喂者赔24万外国人感慨凌晨的中国很安全路边卖淀粉肠阿姨主动出示声明书胖东来员工每周单休无小长假王树国卸任西安交大校长 师生送别小米汽车超级工厂正式揭幕黑马情侣提车了妈妈回应孩子在校撞护栏坠楼校方回应护栏损坏小学生课间坠楼房客欠租失踪 房东直发愁专家建议不必谈骨泥色变老人退休金被冒领16年 金额超20万西藏招商引资投资者子女可当地高考特朗普无法缴纳4.54亿美元罚金浙江一高校内汽车冲撞行人 多人受伤

代做工资流水公司 XML地图 TXT地图 虚拟主机 SEO 网站制作 网站优化