刚刚公布的 Log4J 的史诗级安全漏洞 CVE-2024-44228 你处理了吗?

最新推荐文章于 2024-07-05 11:56:18 发布
最新推荐文章于 2024-07-05 11:56:18 发布
阅读量1k 收藏 27
点赞数 27
分类专栏: 程序员 文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281648/article/details/138433628
版权
本文讨论了Log4j2的零日漏洞,指出低版本存在JNDI注入风险,建议升级到2.15.0以上或禁用JNDI查找。同时提供学习网络安全的路径、工具推荐和项目实战,以及面试准备建议。
摘要由CSDN通过智能技术生成

零日漏洞( zero-day )通常是指还没有补丁的安全漏洞。零日漏洞利用(zero-day exploit)的程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水准的一个重要参数。

是否需要应对

首先看看NIST上的官方描述:

Log4j2 在配置、日志消息和参数中使用了 JNDI 功能。如果 Log4j2 的版本 <=2.14.1 ,JNDI 相关功能无法防御攻击者控制的 LDAP 和其他 JNDI 相关端点。控制了日志消息或日志消息参数的攻击者可以执行从 LDAP 服务器上的任意代码。

所以如果你使用了Log4J输出日志,而且版本 <=2.14.1,那么你很可能中招了。不过需要注意的是,Log4J相关的 jar 有好几个,只有使用了 log4j-core 包的程序才需要应对。很多使用了 Spring Boot 的同学,发现依赖库中存在 Log4J 的 jar 包就慌了,其实 spring-boot-starter-logging 依赖的是 log4j-to-slf4j和 log4j-api,这两个包不会引入上述漏洞。使用 Spring Boot 小伙伴们可以放心了。

使用 Gradle 的同学可以使用如下命令,检查是否依赖了 log4j-core ,版本是否 <=2.14.1。

./gradlew dependencyInsight --dependency log4j-core

复制代码

如何应对

一劳永逸的应对办法就是将 Log4J 的版本升级到 2.15.0 或者更高。如果暂时不升级的话,也可以在JVM 系统参数中将 log4j2.formatMsgNoLookups 设置为 true,也可以避免遭到利用该漏洞的攻击。

java -Dlog4j2.formatMsgNoLookups=true -jar myapp.jar

复制代码

根本原因是什么

根本原因说白了就是 JNDI 注入,类似以往经常见到了 SQL 注入。阿里的 FastJson 库以前也出现过类似的漏洞。

image.png

  1. 攻击者在攻击者控制的Naming/Directory服务中绑定有效负载(Payload)。

  2. 攻击者向易受攻击的 JNDI 查找方法注入绝对 URL。

  3. 应用程序执行查找。

  4. 应用程序连接到攻击者返回的受控 N/D 服务的有效载荷。

  5. 应用程序对响应进行解码并触发有效载荷。

如何再现

首先准备任意一个类,模拟恶意代码。如下示例在构造方法中启动了Mac的计算器程序。

Exploit.java

java.lang.Runtime.getRuntime().exec(new String[] { “open”, “-a”, “Calculator” });

复制代码

然后使用 Log4j 输出一段日志,利用这个漏洞的前提是日志信息是可以由攻击者控制的,比如在代码中打印了HTTP请求的参数或者Header等等,攻击者可以在请求参数或者Header中输入如下JNDI Url。这里为了方便,直接写在了代码中。

Log4j2Vul.java

logger.info(“${jndi:ldap:127.0.0.1/anystring}”);

复制代码

然后我们利用 python 搭建一个简单的 HTTP 服务器,将恶意代码 Exploit.class 暴露出去。

./gradle build

cd build/classes/java/main

python3 -m http.server 7374

复制代码

本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。

最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。

最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84281648
关注
  • 27
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码来远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
严重危害警告!Log4j 执行漏洞被公开!
yz_weixiao的博客
01-12 216
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
关于log4j安全漏洞以及版本替换的记录
凉茶冰
07-28 3310
log4j安全漏洞是大事件,早几个月项目上的都已经打完补丁,替换了包了。简单记录下日志这块的使用。目前jdk是java8及以上,要求log4j的版本必须是2.17.1。正常SpringBoot集成的时候,先在spring-boot-starter-web依赖中排除掉spring-boot-starter-logging的依赖,然后再引入spring-boot-starter-log4j2就能用了。但是这时候默认的log4j版本太低,我们需要自己引入所需要的版本,按照如上的方式引入即可。......
Apache log4j2远程代码执行漏洞
持 开源思想,撰 必胜所学,望 勤学者,无难处
05-21 166
该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。2、若项目使用Maven打包,查看项目pom文件是否存在groupId包含log4j的依赖。1、检查Java应用是否引入log4j-api,log4j-core两个jar。1、官方已于202112月10日发布新版本修复该漏洞,请尽快升至安全版本。
刚刚公布Log4J史诗安全漏洞 CVE-2021-44228处理了吗?
weixin_45987961的博客
12-15 5284
发生什么事了 Log4J 是一个应用非常广泛的Java库,就在前两天的202112月10日,Log4J的一个安全漏洞公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。 漏洞编号为CVE-2021-44228 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。 零日漏洞( zero-day )通常是指还没有补丁的安全漏洞。零日漏洞利用(zero-day exploit)的程序对网络安全具有..
刚刚公布Log4J史诗安全漏洞 CVE-2024-44228处理了吗?(2)
2401_84301948的博客
04-29 258
如何应对一劳永逸的应对办法就是将 Log4J 的版本升到2.15.0或者更高。如果暂时不升的话,也可以在JVM 系统参数中将设置为true,也可以避免遭到利用该漏洞的攻击。复制代码根本原因是什么根本原因说白了就是,类似以往经常见到了 SQL 注入。阿里的库以前也出现过类似的漏洞。攻击者在攻击者控制的Naming/Directory服务中绑定有效负载(Payload)。攻击者向易受攻击的 JNDI 查找方法注入绝对 URL。应用程序执行查找。
log4j-api-2.12.4.ja和log4j-core-2.12.4.jar
04-27
提到的"避免log4j漏洞问题"可能指的是在2021出现的严重安全漏洞——CVE-2021-44228,也被称为Log4Shell。这个漏洞允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码。...
在Java项目中集成单元测试与覆盖率工具
微赚淘客开发者博客
07-05 551
单元测试是软件开发中至关重要的一环,它用于验证代码在独立单元(如方法、类)别上的正确性和预期行为。通过本文的介绍,我们学习了如何在Java项目中集成并使用单元测试框架(如JUnit)和代码覆盖率工具(如JaCoCo),以提升代码质量和开发效率。单元测试与覆盖率工具的结合应用不仅是现代软件开发的标配,也是确保软件质量和可维护性的重要保障。JaCoCo是一个流行的Java代码覆盖率工具,可以帮助我们评估测试用例对代码的覆盖程度。在Java开发中,JUnit是最常用的单元测试框架之一。
2024东南亚二硫代氨基甲酸酯类杀菌剂市场深度研究及预测报告.pdf
07-08
东南亚位于我国倡导推进的“一带一路”海陆交汇地带,作为当今全球发展最为迅速的地区之一,近来区域内生产总值实现了显著且稳定的增长。根据东盟主要经济体公布的最新数据,印度尼西亚2023国内生产总值(GDP)增长5.05%;越南2023经济增长5.05%;马来西亚2023经济增速为3.7%;泰国2023经济增长1.9%;新加坡2023经济增长1.1%;柬埔寨2023经济增速预计为5.6%。 东盟国家在“一带一路”沿线国家中的总体GDP经济规模、贸易总额与国外直接投资均为最大,因此有着举足轻重的地位和作用。当前,东盟与中国已互相成为双方最大的交易伙伴。中国-东盟贸易总额已从2013的443亿元增长至 2023合计超逾6.4万亿元,占中国外贸总值的15.4%。在过去20余中,东盟国家不断在全球多变的格局里面临挑战并寻求机遇。2023东盟国家主要经济体受到国内消费、国外投资、货币政策、旅游业复苏、和大宗商品出口价企稳等方面的提振,经济显现出稳步增长态势和强韧性的潜能。 本调研报告旨在深度挖掘东南亚市场的增长潜力与发展机会,分析东南亚市场竞争态势、销售模式、客户偏好、整体市场营商环境,为国内企业出海开展业务提供客观参考意见。 本文核心内容: 市场空间:全球行业市场空间、东南亚市场发展空间。 竞争态势:全球份额,东南亚市场企业份额。 销售模式:东南亚市场销售模式、本地代理商 客户情况:东南亚本地客户及偏好分析 营商环境:东南亚营商环境分析 本文纳入的企业包括国外及印尼本土企业,以及相关上下游企业等,部分名单 QYResearch是全球知名的大型咨询公司,行业涵盖各高科技行业产业链细分市场,横跨如半导体产业链(半导体设备及零部件、半导体材料、集成电路、制造、封测、分立器件、传感器、光电器件)、光伏产业链(设备、硅料/硅片、电池片、组件、辅料支架、逆变器、电站终端)、新能源汽车产业链(动力电池及材料、电驱电控、汽车半导体/电子、整车、充电桩)、通信产业链(通信系统设备、终端设备、电子元器件、射频前端、光模块、4G/5G/6G、宽带、IoT、数字经济、AI)、先进材料产业链(金属材料、高分子材料、陶瓷材料、纳米材料等)、机械制造产业链(数控机床、工程机械、电气机械、3C自动化、工业机器人、激光、工控、无人机)、食品药品、医疗器械、农业等。邮箱:market@qyresearch.com
04N50C3-VB TO252一款N-Channel沟道TO252的MOSFET晶体管参数介绍与应用说明
07-08
04N50C3-VB TO252;Package:TO252;Configuration:Single-N-Channel;VDS:650V;VGS:30(±V);Vth:3.5V;RDS(ON)=1000mΩ@VGS=10V;ID:5A;Technology:SJ_Multi-EPI;
体积阵波束形成-赵海朝.pdf
07-08
体积阵波束形成-赵海朝.pdf
python读取csv文件.txt
07-08
python数据分析与可视化
制造行业精细化工数字化解决方案.pdf
07-08
制造行业精细化工数字化解决方案.pdf
Java软件开发实战 Java基础与案例开发详解 14-4 swing简介 共21页.pdf
07-07
完整版:https://download.csdn.net/download/qq_27595745/89522468 【课程大纲】 1-1 什么是java 1-2 认识java语言 1-3 java平台的体系结构 1-4 java SE环境安装和配置 2-1 java程序简介 2-2 计算机中的程序 2-3 java程序 2-4 java类库组织结构和文档 2-5 java虚拟机简介 2-6 java的垃圾回收器 2-7 java上机练习 3-1 java语言基础入门 3-2 数据的分类 3-3 标识符、关键字和常量 3-4 运算符 3-5 表达式 3-6 顺序结构和选择结构 3-7 循环语句 3-8 跳转语句 3-9 MyEclipse工具介绍 3-10 java基础知识章节练习 4-1 一维数组 4-2 数组应用 4-3 多维数组 4-4 排序算法 4-5 增强for循环 4-6 数组和排序算法章节练习 5-0 抽象和封装 5-1 面向过程的设计思想 5-2 面向对象的设计思想 5-3 抽象 5-4 封装 5-5 属性 5-6 方法的定义 5-7 this关键字 5-8 javaBean 5-9 包 package 5-10 抽象和封装章节练习 6-0 继承和多态 6-1 继承 6-2 object类 6-3 多态 6-4 访问修饰符 6-5 static修饰符 6-6 final修饰符 6-7 abstract修饰符 6-8 接口 6-9 继承和多态 章节练习 7-1 面向对象的分析与设计简介 7-2 对象模型建立 7-3 类之间的关系 7-4 软件的可维护与复用设计原则 7-5 面向对象的设计与分析 章节练习 8-1 内部类与包装器 8-2 对象包装器 8-3 装箱和拆箱 8-4 练习题 9-1 常用类介绍 9-2 StringBuffer和String Builder类 9-3 Rintime类的使用 9-4 日期类简介 9-5 java程序国际化的实现 9-6 Random类和Math类 9-7 枚举 9-8 练习题 10-1 java异常处理 10-2 认识异常 10-3 使用try和catch捕获异常 10-4 使用throw和throws引发异常 10-5 finally关键字 10-6 getMessage和printStackTrace方法 10-7 异常分类 10-8 自定义异常类 10-9 练习题 11-1 Java集合框架和泛型机制 11-2 Collection接口 11-3 Set接口实现类 11-4 List接口实现类 11-5 Map接口 11-6 Collections类 11-7 泛型概述 11-8 练习题 12-1 多线程 12-2 线程的生命周期 12-3 线程的调度和优先 12-4 线程的同步 12-5 集合类的同步问题 12-6 用Timer类调度任务 12-7 练习题 13-1 Java IO 13-2 Java IO原理 13-3 流类的结构 13-4 文件流 13-5 缓冲流 13-6 转换流 13-7 数据流 13-8 打印流 13-9 对象流 13-10 随机存取文件流 13-11 zip文件流 13-12 练习题 14-1 图形用户界面设计 14-2 事件处理机制 14-3 AWT常用组件 14-4 swing简介 14-5 可视化开发swing组件 14-6 声音的播放和处理 14-7 2D图形的绘制 14-8 练习题 15-1 反射 15-2 使用Java反射机制 15-3 反射与动态代理 15-4 练习题 16-1 Java标注 16-2 JDK内置的基本标注类型 16-3 自定义标注类型 16-4 对标注进行标注 16-5 利用反射获取标注信息 16-6 练习题 17-1 顶目实战1-单机版五子棋游戏 17-2 总体设计 17-3 代码实现 17-4 程序的运行与发布 17-5 手动生成可执行JAR文件 17-6 练习题 18-1 Java数据库编程 18-2 JDBC类和接口 18-3 JDBC操作SQL 18-4 JDBC基本示例 18-5 JDBC应用示例 18-6 练习题 19-1 。。。
vue进阶版的学习啊啊啊
最新发布
07-08
vue进阶版的学习啊啊啊
apache log4j2 任意代码执行漏洞(cve-2021-44228)
09-18
Apache Log4j2是一个广泛使用的开源日志管理工具。然而,最近发现了一个严重的漏洞,被命名为CVE-2021-44228。这个漏洞允许攻击者通过恶意构造的日志事件来执行任意代码,导致系统被远程攻击者完全控制。 漏洞是由于Log4j2中的PatternLayout布局处理器存在一个特定的模式转换字符(%d、%i、%m、%p等)被恶意利用的问题。攻击者可以将恶意代码嵌入到日志事件中,并通过向受影响的Log4j2实例发送恶意请求触发此漏洞。一旦攻击成功,攻击者可以在受影响的应用程序上执行任意的远程代码。 这个漏洞的危害性非常高,因为日志功能几乎在每个应用程序中都得到广泛使用。攻击者可以通过恶意日志事件执行各种攻击,包括远程命令执行、数据库注入、代码执行等。受影响的应用程序可能会泄露敏感数据、遭受损坏甚至被完全控制。 解决这个漏洞的最佳方法是升Log4j2的最新版本。Apache已经发布了修复此漏洞的版本,更具体地说是2.15.0和2.16.0,这些版本不再处理这类模式转换字符。如果无法立即更新,可以考虑在应用程序中禁用PatternLayout布局处理器,或者使用其他日志管理框架替代Log4j2。 此外,还建议及时监测应用程序的日志活动,并对异常的日志事件进行审查。如果遇到可疑的日志事件,应立即采取行动,例如暂停相关服务、排查日志事件来源、加强网络安全防护等。 总之,Apache Log4j2的CVE-2021-44228漏洞是一个严重的安全威胁,可能导致系统被完全控制。及时升到修复版本、加强监控和审查日志活动是应对该漏洞的关键步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值