SpringBoot專案解決 log4j2 核彈漏洞!
事件情況
北京時間12月9號深夜,Apache Log4j2被曝出一個高危漏洞,攻擊者通過jndi注入攻擊的形式可以輕松遠程執行任何代碼,隨后官方緊急推出了2.15.0和2.15.0-rc1新版本修復,依然未能完全解決問題,現在已經更新到2.15.0-rc2,該漏洞被命名為Log4Shell,編號CVE-2021-44228,
高版本的jdk已修改默認配置,可以在一定程度上限制JNDI漏洞利用方式,在這些版本中
com.sun.jndi.ldap.object.trustURLCodebas設定為false,意味著jndi無法使用ldap加載遠程代碼,但是,還有其他針對此漏洞的攻擊方式可能導致RCE,攻擊者仍然可以利用服務器上的現有代碼來進行有效攻擊,
Log4j2是一款優秀的java日志框架,被大量用于業務開發,可能專案本身沒有直接使用,但是參考的依賴包中仍然可能用到,只要用戶輸入的資料會被日志記錄,就可被成功攻擊,
影響范圍Apache Log4j 2.x <= 2.15.1-rc1,
該漏洞于11月下旬由阿里云安全團隊的chen zhaojun最先上報,
參考文章
解決方法
Springboot專案修復這個bug,一行代碼即可
在pom.xml中修改log4j2的版本即可,升級為2.15.0
<properties>
<java.version>1.8</java.version>
<log4j2.version>2.15.0</log4j2.version>
</properties>
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/381926.html
標籤:其他