Log4j 2.16.0发布,受Log4j漏洞影响的Apache项目一览

最新推荐文章于 2021-12-22 18:06:08 发布
原创 最新推荐文章于 2021-12-22 18:06:08 发布 · 2.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#java #maven #kafka #zookeeper #docker

772e99ba166e4aca2dd8e08d72c18730.gif

今天的早些时候陷入CVE-2021-44228漏洞风波的Log4j发布了2.16.0版本。

edcf3a9838733ec5fb1f8cf68bbe069a.png

2.16.0版本强化漏洞防御

2.16.0版本版本中完全删除对Message Lookups的支持。目的是采取强化措施以防止 CVE-2021-44228,另外默认禁用 JNDI,需要 log4j2.enableJndi设置为 true 以允许 JNDI。 CVE-2021-44228漏洞已经在前些天发布的2.15.0版本得到了修复。2.16.0版本是强化对漏洞的封堵,强烈建议更新到2.16.0版本。

受漏洞影响的Apache项目

另外Apache 安全团队在今天公布了受log4j CVE-2021-44228影响的Apache项目。可以根据下面列表进行排查:

82146966c890e0e864d5357d6266c280.png

关于 Log4j1.2下的CVE-2021-4104

当攻击者对Log4j配置具有写访问权限时,Log4j1.2中的 JMSAppender容易受到不可信数据的反序列化。攻击者可以对TopicBindingNameTopicConnectionFactoryBindingName配置,将导致JMSAppender以类似CVE-2021-4422的方式执行JNDI请求,从而导致远程代码执行。

请注意,当专门使用JMSAppender时才会引发CVE-2021-4104,此问题仅出现在Log4j 1.2,而且这不是默认设置。

附代码|Java日志库Log4j2注入漏洞复现,看看它危害有多大

2021-12-13

23c3837830b32e41354a4f8a13e523bc.png

Spring Boot应对Log4j2注入漏洞官方指南

2021-12-11

9fa2c22307bd0abd78875e7af207537e.png

知名Java日志组件Log4j2爆出严重0 day漏洞,连我们客户都来问中招了没

2021-12-10

879b079cdf6a91e0db3e519e6bdefb7b.png
Log4j 再发 2.16.0 新版,彻底移除 Message Lookups;一行配置轻松升级
一行Java的博客
12-16 1501
大家好,我是一航! 近一周,可能是Log4j团队最忙的一周了;因为上周爆出来的核弹级Bug,在短短的一个星期时间内,连推了两个大版本,来修复此漏洞; 本以为今年只会推出一个小版本的;在这年末之际,因为一个bug,只能说好家伙,明年的版本指标都给用上了; 2.15.0上线短短3天之后,最新的2.16.0已经正式发布 更新内容 默认禁用 JNDI;需要 log4j2.enableJndi设置为 true 以允许 JNDI 完全删除对Message Lookups的支持。进一步强化防御 更多细节.
log4j_1.2.16
05-14
log4j1.2.16 比较流行的apache项目之一吧,不知道过多久又会出新的了。
Apache Log4j2团队宣布Log4j 2.16.0发布,强烈建议升级
码农小胖哥
12-14 4591
log4j 2.16.0发布,强烈建议升级
Log4j 漏洞,用lombok的Slf4j没有影响
热门推荐
miaohancheng的博客
12-15 1万+
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。20211124 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会漏洞攻击影响。因此,该漏洞也同时影响全球大量
Log4j的重大漏洞,必须升级到2.16.0漏洞才能完全解除
Champion-Dai
12-15 5171
Log4j重大漏洞,必须升级到2.16.0! 2.15.0并未完全解决问题
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在描述中,“若依框架”是一个基于Spring Boot的开源企业级快速开发平台,它也到了Log4j漏洞影响。因此,若依框架的用户需要及时下载并部署log4j2.16.0,以保护他们的系统免潜在的攻击。通常,更新Log4j2...
修复log4j漏洞log4j2下载最新log4j2.16.0下载 log4j-api-2.16.0.jar
12-16
apache下载太慢,特搬到国内下载。修复log4j漏洞log4j2下载最新log4j2.16.0下载
apache-log4j-2.16.0-bin.rar
12-17
然而,2021年底,一个严重漏洞被发现,被称为“Log4Shell”或CVE-2021-44228,这个漏洞允许攻击者通过在日志记录中注入恶意代码,实现远程代码执行(RCE),对影响的系统造成严重威胁。 该漏洞源于Log4j2的一个...
log4j2漏洞补丁log4j2.15-rc2 log4j2.16.0.zip
12-14
本文将详细解析Log4j2漏洞的本质,探讨其影响,并介绍修复此漏洞的两个关键补丁——log4j2.15-rc2log4j2.16.0,以及如何应用这些补丁以确保系统的安全性。 Log4j2Apache软件基金会开发的一个广泛使用的Java日志...
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
这个漏洞,被称为CVE-2021-44228,影响了广泛使用的Java日志框架Apache Log4j2,可能导致远程代码执行(RCE)的风险,让攻击者有机会完全控制影响的系统。本文将深入探讨Log4j2漏洞的原理、影响范围以及如何进行...
log4j支持jar包
07-09
log4j支持jar包,jar包中的PropertyConfigurator.configure可以读取log4j的配置文件
Log4j1.2.16官方文档和jar包
04-26
在强调可重用组件开发的今天,除了自己从头到尾开发一个可重用的日志操作类外,Apache为我们提供了一个强有力的日志操作包-Log4j。   官方站点:http://logging.apache.org/log4j/   Log4jApache的一个开放源代码项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
apache-log4j-2.17.0 核心jar包
03-31
Log4j 是一个日志记录框架,Log4j 2 是对 Log4j 的升级,提供了重大改进,超越其前身 Log4j 1.x,并提供许多其它现代功能 ,例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。 Apache Log4j 2.16.0/2.12.2 现已可用。但Apache软体基金会又释出了Log4j 2.17.0版来修补新的阻断服务(Denial of Service,DoS)漏洞Log4j 团队已获悉一个安全漏洞 CVE-2021-45105,该漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解决。
【紧急】继续折腾,Log4j再发2.16.0,强烈建议升级
Tom弹架构
12-15 1969
背景 继前天正式发布2.15.0之后,Apache log4j 2 团队宣布 Log4j 2.16.0 发布! 由于SLF4J适配兼容性的中断,Log4j 现在发布两个版本的SLF4J to Log4j的适配器。log4j-slf4j-impl对应 SLF4J 1.7.x 及更早版本;log4j-slf4j18-impl对应SLF4J 1.8.x 及更高版本一起使用。SLF4J-2.0.0 alpha 版本目前还不完全支持。 强烈推荐升级2.16.0。 修正错误 1LOG4J2-3208:默认禁用 JN
Log4j22.16.0漏洞(CVE-2021-45105)原理、复现步骤和修复方法(2.17.0修复原理)
跳小闹成长记
12-22 6268
好不容易2.16.0发布之后,Log4j2官方,又突然发布2.17.0版本,原因想必大家通过各种号推送都已经知道了。因为在2.16.0版本上发现了一个新的漏洞,该漏洞可能会导致DoS(Denial of Service)攻击。那这个漏洞到底是怎么回事呢?它会有哪些影响呢?今天咱们就一起来深度学习下该漏洞相关原理和攻击步骤。
apache-log4j-1.2.16
噬魂归来的专栏
04-18 461
log4j
升级到 log4j 2.16?惊喜,有一个 2.17 修复 DoS
学海无涯苦作舟的博客
12-21 2310
都准备好了吗?没那么快。昨天,BleepingComputer 总结了迄今为止已知的所有 log4j 和 logback CVE。 自从上周开始出现关键的 log4j 零日漏洞以来,安全专家一次又一次地推荐版本 2.16 作为最安全的版本。 今天,随着 2.17.0 版本的发布,情况发生了变化,该版本修复了一个影响 log4j 2.16 的看似轻微但“高”严重性的拒绝服务 (DoS) 漏洞。 而且,是的,这个 DoS 错误带有另一个标识符:CVE-2021-45105。 无限递归,有限释放? 影响log4.
没完了!刚升级 Log4j 2.16.0,又爆 DOS 攻击漏洞,升级到 2.17.0 可解决!
Java精选
12-21 1091
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜留言必回,有问必答!每天08:15更新文章,每天进步一点点...最近的 Log4j 2 漏洞想必大家...
Apache Log4j 2.16.0远程代码执行漏洞紧急修复升级
资源摘要信息:"Apache Log4j 2.16.0版本是一个重要的安全更新版本,该版本针对之前版本中存在的一个严重的远程代码执行(RCE)漏洞进行了修复。Apache Log4j是一个广泛使用的Java日志记录库,该库被大量应用程序用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农小胖哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值