vulnerabilities

SpringBoot相关项目

ryan·Jan 16, 2025

基本信息

  • 漏洞编号: CVE-2021-44228
  • 影响版本: Apache Log4j2 2.0-beta9 至 2.14.1
  • 受影响组件: log4j-core
  • 验证状态: 已验证
  • 修复状态: 官方已发布修复版本

漏洞详情

Apache Log4j2中存在JNDI注入漏洞,攻击者可以通过构造恶意的JNDI LDAP请求来执行恶意代码执行,该漏洞影响范围广,由于Log4j2广泛用于于各种Java应用中,该漏洞影响范围极其广泛,利用门槛低,威胁程度高。

影响范围

影响版本

Apache Log4j 2.0-beta9 through 2.14.1

受影响产品

  • SpringBoot相关项目
  • Apache Struts2
  • Apache Solr
  • Apache Druid
  • Elasticsearch
  • Minecraft服务器

验证方法

检查pom.xml文件中log4j-core的版本
检查lib目录下log4j-core-*.jar的版本

修复方案

方案一:版本升级(推荐)

<dependency>
  groupId>org.apache.logging.log4j</groupId>
  <version>2.15.0</version>
</dependency>

方案二:临时修复

设置系统环境变量:

set LOG4J_FORMAT_MSG_NO_LOOKUPS=true