SpringBoot项目解决 log4j2 核弹漏洞

Posted 孙霸天

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SpringBoot项目解决 log4j2 核弹漏洞相关的知识,希望对你有一定的参考价值。

SpringBoot项目解决 log4j2 核弹漏洞!

事件情况

北京时间12月9号深夜,Apache Log4j2被曝出一个高危漏洞,攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复,依然未能完全解决问题,现在已经更新到2.15.0-rc2。该漏洞被命名为Log4Shell,编号CVE-2021-44228。

高版本的jdk已修改默认配置,可以在一定程度上限制JNDI漏洞利用方式。在这些版本中
com.sun.jndi.ldap.object.trustURLCodebas设置为false,意味着jndi无法使用ldap加载远程代码。但是,还有其他针对此漏洞的攻击方式可能导致RCE。攻击者仍然可以利用服务器上的现有代码来进行有效攻击。

Log4j2是一款优秀的java日志框架,被大量用于业务开发,可能项目本身没有直接使用,但是引用的依赖包中仍然可能用到。只要用户输入的数据会被日志记录,就可被成功攻击。

影响范围Apache Log4j 2.x <= 2.15.1-rc1。

该漏洞于11月下旬由阿里云安全团队的chen zhaojun最先上报。

参考文章

解决方法

Springboot项目修复这个bug,一行代码即可

在pom.xml中修改log4j2的版本即可,升级为2.15.0

    <properties>
        <java.version>1.8</java.version>
        <log4j2.version>2.15.0</log4j2.version>
    </properties>

以上是关于SpringBoot项目解决 log4j2 核弹漏洞的主要内容,如果未能解决你的问题,请参考以下文章

一行配置解决Spring Boot项目的log4j2核弹漏洞

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!

终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!

阿里云因发现Log4j2 核弹级漏洞,未及时上报,被工信部处罚。。

阿里云因发现Log4j2 核弹级漏洞,未及时上报,被工信部处罚。。