Apache Log4j远程代码执行漏洞(CVE-2017-5645)

wooodyhuang

2017-04-18

Apache Log4j远程代码执行漏洞(CVE-2017-5645)

发布日期：2017-03-14
更新日期：2017-04-18

受影响系统：

Apache Group Log4j < 2.8.2

描述：

BUGTRAQ ID: 97702
CVE(CAN) ID: CVE-2017-5645

Apache Log4j是一个基于Java的日志记录工具。

Apache Log4j 2.x < 2.8.2版本，若使用TCP或UDP套接字服务器接收其他应用的序列化日志事件，攻击者发送构造的二进制负载，反序列化时，可执行任意代码。

<*来源：Marcio Almeida de Macedo

链接：https://issues.apache.org/jira/browse/LOG4J2-1863
*>

建议：

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://logging.apache.org/log4j/2.x/

log4j 远程代码执行漏洞 apache 漏洞

wooodyhuang

0 关注 0 粉丝 0 动态

相关推荐

漫话：应用程序被拖慢？罪魁祸首竟然是Log4j！

之前一段时间，为我们发现的一个SaaS应用程序会间歇性地卡顿、变慢，因为很长时间都没有定位到原因，所以解决的办法就只能是重启。这个现象和之前我们遇到的程序变得卡顿不太一样，因为我们发现这个应用程序不仅在高流量期间时会变慢，有时在低流量时期也会变慢。所以这令

大唐帝国前营 2020-08-18

Mybatis中使用Log4j日志实现（前提创建的是Maven项目）

Log4j是Apache的一个开源项目，通过使用Log4j，我们可以控制日志信息输送的目的地是控制台、文件、GUI组件。通过定义每一条日志信息的级别，我们能够更加细致地控制日志的生成过程。通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。#将等级为

MrLiar 2020-07-07

log4j使用

综合使用这三个组件可以轻松地记录信息的类型和级别，并可以在运行时控制日志输出的样式和位置。log4j.appender.appenderName.OptionN = valueN3、Layouts有时用户希望根据自己的喜好格式化自己的日志输出，Log4j可

丨Fanny丨Cri 2020-06-13

给，你们要的高性能日志记录工具 Log4j 2

Log4j 介绍过了，SLF4J 介绍过了，Logback 也介绍过了，你以为日志系列的文章就到此终结了?Log4j、SLF4J、Logback 是一个爹——Ceki Gulcu，但 Log4j 2 却是例外，它是 Apache 基金会的产品。SLF4J

chw0 2020-11-04

log4j 配置

#将等级为DEBUG的日志信息输出到console和file这两个目的地，console和file的定义在下面的代码log4j.rootLogger=DEBUG,console,file

sdaq 2020-07-26

log4j详解及log4j.properties配置

Log4j是Apache的一个开源项目。①控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。②在

sdaq 2020-06-16

hibernate（四）

　　hibernate使用了 slf4j，现在我们想使用 log4j，需要中间 jar 包 slf4j-log4j12-1.7.2.jar　　导入 jar 包：slf4j-log4j12-1.7.2.jar 和 log4j-1.2.16.jar　　在 sr

CXC0 2020-06-14

数据爬取

ehcache：重复url判断。httpclient：发送http请求。正则表达式的使用；

MrLiar 2020-06-11

Java日志体系(1) —— 那些年那些事，那些日志的历史

SLF4J：Simple Logging Facade for Java，缩写Slf4j，是一套简易易Java日志门面，只提供相关接口，和其他日志工具之间需要桥接。JUL：JDK中的日志工具，也称为jdklog、jdk-logging，自Java1.4以来

CXC0 2020-06-08

mybatis依赖

<dependencies> <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis<

dongxurr 2020-06-07

Mybatis 6、日志

推荐以后使用日志工厂！！！如果一个数据库操作，出现了异常，我们需要排错。日志就是最好的助手！在Mybatis中具体使用哪个日志实现，在设置中设定！Log4j是Apache的一个开源项目，通过使用Log4j，我们可以控制日志信息输送的目的地是控制台、文件、G

sdaq 2020-06-06

[J2EE：中间件]LOG4J配置文件(log4.properties)详解

-- slf4j与log4j的整合jar包 : 其将自动引入其log4j-1.2.17.jar -->. # log4j:WARN Please initialize the log4j system properly.#

MrLiar 2020-06-04

IDEA安装使用Lombox插件

到这里就完成了所有配置，之后就可以使用log来打印日志。

MrLiar 2020-06-03

Log4j日志记录框架

任何一个系统都需要日志记录功能，以便开发调试，线上环境追溯问题。常用的日志记录框架Log4j。其是apache的一个开源日志组件。3) 配置log4j配置文件。c.日志的输出方式：日志输出的目的地。控制台，文件，邮件，数据库

丨Fanny丨Cri 2020-06-03

@Scheduled注解报错

使用注解的时候再service层的两个方法中分贝添加了@Scheduled注解和@Transactional注解，启动项目时报错，报错信息为：

MrLiar 2020-05-25

Mybatis动态代理注意事项

--导入slf，他是log4j的接口层-->. --导入junit测试包-->. 比如sql会话工厂每次都要创建，然后每次我们都要手动开启事务，回滚，关闭sqlsession等。--使用插件，让项目使用java8编译等-->. 以后不用写

丨Fanny丨Cri 2020-05-17

[SpringBoot] Spring Boot（10）Logback和Log4j2集成与日志发展史

　　Java知名的日志有很多，比如：JUL、Log4j、JCL、SLF4J、Logback、Log4j2，那么这些日志框架之间有着怎样的关系？诞生的原因又是解决什么问题？　　Java有自己的日志框架JUL在java.util.logging下，因为对开发者

MrLiar 2020-05-14

log4j2项目打成jar包运行日志无法打印

maven项目中因为引入的有log4j2 在打成jar包通过java -cp 命令运行时，引起下面这段错误，后果就是log日志无法打印。ERROR StatusLogger Unrecognized conversion specifier [d] st

MrLiar 2020-05-12

日志框架

Java常用日志框架历史1996年早期，欧洲安全电子市场项目组决定编写它自己的程序跟踪API。经过不断的完善，这个API终于成为一个十分受欢迎的Java日志软件包，即Log4j。后来Log4j成为Apache基金会项目中的一员。期间Log4j近乎成了Jav

sdaq 2020-05-11

log4j配置

　　1）监视代码中变量的变化情况，周期性的记录到文件中供其他应用进行统计分析工作；　　2）跟踪代码运行时轨迹，作为日后审计的依据；　　3）担当集成开发环境中的调试器的作用，向文件或控制台打印代码的调试信息。　　在强调可重用组件开发的今天，除了自己从头到尾开

JavaWinner 2020-05-10

wooodyhuang

W3CSchool教程: HTML 教程; CSS 教程; Bootstrap 教程; Javascript 教程; jQuery 教程

后端教程: C 教程; Java 教程; PHP 教程; Python 教程; Go 教程

移动开发: Android 教程; Swift 教程; Kotlin 教程; jQuery Mobile 教程; ionic 教程

关于我们: 新闻动态; 联系方式; 招聘英才; 安科实验室; 帮助与反馈

安科网(Ancii)，中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号京公网安备11010802014868号