Apache Log4j 2漏洞是怎么回事 Apache Log4j 2漏洞怎么修复
分类:软件评测
时间:2023-06-20 20:11:56
近日Apache Log4j 2出现漏洞导致我的世界杯黑客攻击,不少玩家都受到了不同程度的影响,而这一切的起因都是因为Apache Log4j 2漏洞。怎么才能修复Apache Log4j 2漏洞呢?来看看吧!
Apache Log4j 2漏洞是怎 么回事
Apache Log4j是一个基于Java的日志记录工具,是Apache软件基金会下的一个开源项目。而此次出现漏洞的Apache Log4j 2则是目前该项目的最新版本,且被广泛地应用于各种常见的Web服务中。而所有使用Java作为开发语言产品研发的互联网服务提供商、甚至公司OA系统等提供外部服务的应用只要用Apache Log4j 2插件,都极有可能遭受攻击。
据悉,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,凡是基于java开发的应用平台都可能会受到影响。目前,IT通信(互联网)、高校、工业制造、金融、政府、医疗卫生、运营商等几乎所有行业都受到该漏洞波及,全球知名科技公司、电商网站等也未能幸免,个人用户也难以幸免。
近日,黑客利用最新曝光的Log4j 2漏洞对Minecraft玩家发起攻击,且攻击方法极为简单,聊天窗口发个网址即可触发该漏洞。攻击最早发生于12月10日,早期攻击规模较小,第一天检测到的受攻击玩家数量在100左右。12月11日12时起,黑客发起大规模攻击,从12时开始到目前,平均每小时有近5000个Mincraft玩家遭到攻击,攻击最高峰时有超过10000个玩家遭到攻击。
Apache Log4j 2漏洞怎么修复
1、项目中直接使用Apache Log4j2
升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2 版本,地址 :
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
Apache Maven 版本
修改pom.xml
[AppleScript] 代码如下:
<dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.15.0-rc2</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.15.0-rc2</version> </dependency></dependencies>
Gradle 版本
修改build.gradle
[AppleScript]代码如下:
dependencies { compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2' compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2'}
2、框架次加载 Apache Log4j2
截止目前,第三方框架中使Apache Log4j2的,如srping-boot、Apache Struts2等,暂未发布最新修复版本。
只能使用临时方案进行修复。
①在jvm启动参数中添加-Dlog4j2.formatMsgNoLookups=true
②系统环境变量中配置FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true
③项目中创建log4j2.component.properties文件,文件中增加配置log4j2.formatMsgNoLookups=true
④部署第三方防火墙产品。
Apache Log4j 2漏洞有什么不好的影响
由于minecraft java版也使用了log4j,这个漏洞甚至可以用来在生存模式下作弊,实测在低版本java(java8u191之前的版本)下可以在minecraft聊天内使用jndi注入,因为minecraft会把聊天输入内容打在log里,用的就是log4j,因为命令方块也可以实现此注入,在有外部程序配合的情况下,可以实现完全看不出任何破绽的作弊
官方启动器+官方jre玩家不用进行任何操作,虽然正版的log4j版本是存在漏洞的版本,但是因为目前官方启动器用的jre是基于openjdk16的,openjdk16不能使用jndi注入。
但是还在使用低版本java开服的服主,建议尽快升级log4j和java版本。
相关应用
相关文章推荐
Apache Log4j 2漏洞是怎么回事 Apache Log4j 2漏洞怎么修复近日Apache Log4j 2出现漏洞导致我的世界杯黑客攻击,不少玩家都受到了不同程度的影响,而这一切的起因都是因为Apache Log4j 2漏洞。怎么才能修复Apache Log4j 2漏洞呢?来看看吧![详情]
-
Steam发现“改余额”漏洞,官方迅速修复
8 月 16 日消息 网络安全研究人员 @drbrix 发现了一个 Steam 的钱包余额的 bug,随后将其反馈给 Valve。后者在@drbrix 的帮助下成功修复了这一 Steam 的充值漏洞问题。...[详情]
- 6000阿里员工倡议:治理有漏洞(建立反性侵制度)
- GitHub新规:可信管安全研究的漏洞和恶意代码
- 苹果修复macOS 11.4零日漏洞:可截屏或录视频
- win7运行phpstudy时提示80端口被占用解决方法
- 2019年热门开源项目当中的漏洞增加了一倍!
- WhatsApp漏洞或已暴露用户的手机号码!
- 新的安全漏洞让攻击者伪造出可信的蓝牙外设!
- Tomcat9.0装置教程 Tomcat9.0环境变量配置办法
同类排行
最新软件评测
- 永久无广告漫画免费app有哪些好推荐_免费观看漫画软件app排行榜前十名
永久无广告漫画免费app有哪些好推荐?现在很多小伙伴都喜欢观看漫画,但是目前市面上绝大部分漫画都是需要用户们开通VIP才能够观看,或者是需要观看广告解锁一部分的漫画,只有不断的观看广告才能够解锁全本漫画。下面附件站小编给大家带来免费观看漫画软件app排行榜前十名,有喜欢看漫画的小伙伴可以保存下载。
2021-12-17 21:54 - 免费小说阅读app哪个好用无广告_免费最全的小说软件app排名前十
免费小说阅读app哪个好用无广告?目前小说的阅读者已经是一个非常庞大的数字,并且还是处于正在增长的一个趋势,但是还是有很多小说阅读器处于一个收费、需要开通会员等才能够让你免费观看全本的小说,小伙伴们不知道在哪下载免费阅读小说的神器。下面附件站小编给大家带来免费最全的小说软件app排名前十,有喜欢看小说的小伙伴可以保存下载。
2021-12-17 21:54 - 打网约车用哪个软件比较好_现在有哪些网约车平台2023
打网约车用哪个软件比较好?近些年来,得益于互联网的快速发展,各种网约车平台也是如雨后春笋般涌现出来。很多人现在出行都会选择叫网约车,相比出租车来说价格更加公道,有一口价、特价等。由于现在网约车平台有很多,导致有些小伙伴不知道打网约车用哪个软件比较好,下面小编就给大家做一下推荐。
2021-12-17 21:54 - 不用网络也能看小说的软件有哪些_离线可以看小说的软件下载
不用网络也能看小说的软件有哪些?小说是现在很多人都喜欢看的内容,大部分人都会在自己闲着无聊的时候用手机软件来阅读自己喜欢的小说。虽然网上有许多可以看小说的软件,但是基本都是需要用户联网之后才可以观看的。那么,不用网络也能看小说的软件有哪些?下面小编就给大家推荐几个。
2021-12-17 21:54 - 目前最便宜的打车软件哪个最好_最省钱的打车软件下载2023
目前最便宜的打车软件哪个最好?随着经济社会的发展,人们现在出行可以说是越来越方便了。得益于广大群众的出行需求,各种网约车平台如雨后春笋般涌现出来,对于消费者来说,打车当然是越便宜越好。那么,目前最便宜的打车软件哪个最好?下面小编就给大家带来最省钱的打车软件下载2023,快快下载体验吧!
2021-12-17 21:54 - txt小说阅读器有哪些推荐_免费txt小说阅读软件下载
txt小说阅读器有哪些推荐?小说是现在很多人都喜欢看的,大部分书迷都会选择在闲暇空余的时间或者是候车的时候观看喜欢的小说来消磨时间。虽然现在网上有许多的小说阅读器,但是有的并不支持txt小说,至支持epub等格式的。那么,txt小说阅读器有哪些推荐?下面小编就给大家推荐几个。
2021-12-17 21:54 - 正版软件漫画免费app有哪些软件推荐_免费的看漫画官方app十大排名2023
正版软件漫画免费app有哪些软件推荐?漫画对于一些年轻人来说已经属于生活的必需品,成为了不可分割的重要组成部分,一些小伙伴喜欢将自己所有的空余时间都用来看漫画,这样有一款能够免费无广告的观看漫画神器就显得尤为重要。下面附件站小编给大家带来免费的看漫画官方app十大排名2023,喜欢看漫画的小伙伴千万不能错过了。
2021-12-17 21:54 - 真正无广告免费的小说app有哪些推荐_免费最全好看的十大小说软件排行榜
真正无广告免费的小说app有哪些推荐?现在很多年轻人都喜欢在自己的生活中安排上阅读小说这一项流程,这也是因为小说已经走进年轻人的身边,已经无法分割的境界,但是很多小伙伴却不知道在哪里能够下载免费阅读的小说神器。下面附件站小编给大家带来免费最全好看的十大小说软件排行榜,有需要的小伙伴可以保存起来以备不时之需。
2021-12-17 21:54 - 现在大学生都用什么交友软件2023_大学生交友恋爱app排行榜前十名
现在大学生都用什么交友软件2023?得益于互联网的快速发展,我们现在可以轻松利用交友软件在网上进行交友活动。每一年龄段所使用的交友软件都是不一样的,对于大学生来说,一般都是用的的时下比较流行的交友app。那么,现在大学生都用什么交友软件?下面小编就给大家带来大学生交友恋爱app排行榜前十名,快来下载吧。
2021-12-17 21:54 - 在线观看nba免费直播软件有哪些ios_免费看nba直播软件可看回放排行榜
在线观看nba免费直播软件有哪些ios?很多年轻人现在喜欢使用手机观看NBA直播,虽然可能使用手机观看屏幕比较小,但是比较方便。但是很多小伙伴下载使用的软件都是需要开通会员或者购买某一场才能够观看,想要一款不需要会员免费观看的NBA直播软件却不知道在哪里下载。下面附件站小编给大家带来免费看nba直播软件可看回放排行榜,有需要的小伙伴可以下载试一下。
2021-12-17 21:54