中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

ApacheLog4j2漏洞是怎么回事ApacheLog4j2漏洞怎么修復(fù)

2022-10-11    分類(lèi): 網(wǎng)站建設(shè)

近日Apache Log4j2出現(xiàn)漏洞導(dǎo)致我的世界杯黑客攻擊,不少玩家都受到了不同程度的影響,而這一切的起因都是因?yàn)锳pache Log4j2漏洞。怎么才能修復(fù)Apache Log4j2漏洞呢?來(lái)看看吧!

Apache Log4j2漏洞是怎么回事 Apache Log4j2漏洞怎么修復(fù)

Apache Log4j2漏洞是怎 么回事

Apache Log4j是一個(gè)基于Java的日志記錄工具,是Apache軟件基金會(huì)下的一個(gè)開(kāi)源項(xiàng)目。而此次出現(xiàn)漏洞的Apache Log4j2則是目前該項(xiàng)目的最新版本,且被廣泛地應(yīng)用于各種常見(jiàn)的Web服務(wù)中。而所有使用Java作為開(kāi)發(fā)語(yǔ)言產(chǎn)品研發(fā)的互聯(lián)網(wǎng)服務(wù)提供商、甚至公司OA系統(tǒng)等提供外部服務(wù)的應(yīng)用只要用Apache Log4j2插件,都極有可能遭受攻擊。

據(jù)悉,攻擊者僅需向目標(biāo)輸入一段代碼,不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞,使攻擊者可以遠(yuǎn)程控制用戶受害者服務(wù)器,凡是基于java開(kāi)發(fā)的應(yīng)用平臺(tái)都可能會(huì)受到影響。目前,IT通信(互聯(lián)網(wǎng))、高校、工業(yè)制造、金融、政府、醫(yī)療衛(wèi)生、運(yùn)營(yíng)商等幾乎所有行業(yè)都受到該漏洞波及,全球知名科技公司、電商網(wǎng)站等也未能幸免,個(gè)人用戶也難以幸免。

近日,黑客利用最新曝光的Log4j2漏洞對(duì)Minecraft玩家發(fā)起攻擊,且攻擊方法極為簡(jiǎn)單,聊天窗口發(fā)個(gè)網(wǎng)址即可觸發(fā)該漏洞。攻擊最早發(fā)生于12月10日,早期攻擊規(guī)模較小,第一天檢測(cè)到的受攻擊玩家數(shù)量在100左右。12月11日12時(shí)起,黑客發(fā)起大規(guī)模攻擊,從12時(shí)開(kāi)始到目前,平均每小時(shí)有近5000個(gè)Mincraft玩家遭到攻擊,攻擊最高峰時(shí)有超過(guò)10000個(gè)玩家遭到攻擊。

Apache Log4j2漏洞是怎么回事 Apache Log4j2漏洞怎么修復(fù)

Apache Log4j2漏洞怎么修復(fù)

1、項(xiàng)目中直接使用Apache Log4j2

升級(jí)Apache Log4j2所有相關(guān)應(yīng)用到最新的log4j-2.15.0-rc2 版本,地址 :

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

Apache Maven 版本

修改pom.xml

[AppleScript] 代碼如下:

org.apache.logging.log4j log4j-api 2.15.0-rc2 org.apache.logging.log4j log4j-core 2.15.0-rc2

Gradle 版本

修改build.gradle

[AppleScript] 代碼如下:

dependencies { compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2' compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2'}

2、框架次加載 Apache Log4j2

截止目前,第三方框架中使Apache Log4j2的,如srping-boot、Apache Struts2等,暫未發(fā)布最新修復(fù)版本。

只能使用臨時(shí)方案進(jìn)行修復(fù)。

①在jvm啟動(dòng)參數(shù)中添加-Dlog4j2.formatMsgNoLookups=true

②系統(tǒng)環(huán)境變量中配置FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true

③項(xiàng)目中創(chuàng)建log4j2.component.properties文件,文件中增加配置log4j2.formatMsgNoLookups=true

④部署第三方防火墻產(chǎn)品。

Apache Log4j2漏洞有什么不好的影響

由于minecraft java版也使用了log4j,這個(gè)漏洞甚至可以用來(lái)在生存模式下作弊,實(shí)測(cè)在低版本java(java8u191之前的版本)下可以在minecraft聊天內(nèi)使用jndi注入,因?yàn)閙inecraft會(huì)把聊天輸入內(nèi)容打在log里,用的就是log4j,因?yàn)槊罘綁K也可以實(shí)現(xiàn)此注入,在有外部程序配合的情況下,可以實(shí)現(xiàn)完全看不出任何破綻的作弊

官方啟動(dòng)器+官方j(luò)re玩家不用進(jìn)行任何操作,雖然正版的log4j版本是存在漏洞的版本,但是因?yàn)槟壳肮俜絾?dòng)器用的jre是基于openjdk16的,openjdk16不能使用jndi注入。

但是還在使用低版本java開(kāi)服的服主,建議盡快升級(jí)log4j和java版本。

Apache Log4j2漏洞是怎么回事 Apache Log4j2漏洞怎么修復(fù)

文章標(biāo)題:ApacheLog4j2漏洞是怎么回事ApacheLog4j2漏洞怎么修復(fù)
標(biāo)題網(wǎng)址:http://www.rwnh.cn/news/204518.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站策劃、面包屑導(dǎo)航域名注冊(cè)、做網(wǎng)站網(wǎng)站設(shè)計(jì)、建站公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站建設(shè)
普兰县| 双辽市| 石泉县| 永新县| 色达县| 应用必备| 柳州市| 眉山市| 罗江县| 本溪| 沅江市| 淮北市| 安塞县| 大新县| 和田市| 房山区| 宜昌市| 衡水市| 贺兰县| 广饶县| 洛宁县| 顺义区| 库伦旗| 望谟县| 龙岩市| 稷山县| 紫金县| 福海县| 芮城县| 临泽县| 峨眉山市| 阿瓦提县| 沛县| 临邑县| 泉州市| 澜沧| 神农架林区| 明光市| 忻城县| 甘肃省| 阿勒泰市|