log4j日志漏洞问题

最新推荐文章于 2024-09-08 16:46:46 发布
最新推荐文章于 2024-09-08 16:46:46 发布
阅读量4.1k 收藏 1
点赞数
分类专栏: java 文章标签: log4j 安全 lookup jndi rmi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feinifi/article/details/127892222
版权
本文详细介绍了Apache Log4j的安全漏洞,该漏洞允许远程代码执行,影响版本为2.0到2.14.1。通过示例代码,展示了如何复现这个漏洞,以及其工作原理。尽管该漏洞可能导致安全风险,但作者认为如果没有注册JNDI服务,实际威胁有限。文章强调了理解漏洞的重要性,而非盲目升级。
摘要由CSDN通过智能技术生成

    去年,log4j被爆出了一个漏洞,说可以通过利用日志格式化中的远程注入控制主机。当时,这个漏洞被形容为史诗级漏洞,因为这个远程操作可以执行一些操作,如果这个操作有恶意,那么就可以干任何事情,其实有点唬人。

    log4j影响的版本是>2.0并且<2.14.1。

    下面简单复现一下这个漏洞:

     pom.xml

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.0</version>
</dependency>

    log4j2.xml

<?xml version="1.0" encoding="UTF-8"?>
<Configuration xmlns="http://logging.apache.org/log4j/2.0/config">
<Appenders>
    <Console name="Console" target="SYSTEM_OUT">
        <PatternLayout pattern="%d{HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"></PatternLayout>
    </Console>
</Appenders>
<Loggers>
    <R
最低0.47元/天 解锁文章
luffy5459
关注
专栏目录
日志注入风险与解决-Log injection (LOG_INJECTION)
oscar999的专栏
06-29 294
例如,如果将用户提供的恶意字符作为日志输出内容时,就可能会导致日志文件中出现不安全的语句,从而攻击系统。总之,在使用日志记录器(Logger)时,应该避免将用户提供的数据直接作为日志输出内容,可以使用占位符的方式来代替用户提供的数据,以避免黑客攻击。为了避免这个警告,应该避免将用户提供的数据直接作为日志输出内容,可以使用占位符(placeholder)的方式来代替用户提供的数据,以避免黑客攻击。在这个修改后的示例代码中,使用占位符的方式,将用户提供的数据作为参数传递给日志记录器的方法,从而避免了黑客攻击。
log4j2漏洞检测工具
05-07
Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的关注。这个漏洞允许攻击者通过精心构造的日志输入执行远程代码,从而对系统造成严重威胁。为了解决这...
Apache Log4j 漏洞影响规模
Python数据之道
12-25 267
出品 | OSC开源社区(ID:oschina2013)来自 Google Open Source Insights Team 的安全研究人员通过调查Maven Central 中所有软...
掌握Apache Log4j 1.2.15:日志管理的黄金标准
最新发布
weixin_30598047的博客
09-08 1162
本文还有配套的精品资源,点击获取 简介:Apache Log4j是一个广泛使用的Java日志框架,提供灵活强大的日志记录工具,适用于诊断问题、优化性能和确保安全性。Log4j 1.2.15作为经典版本,包含Logger、Appender和Layout三个主要组件,支持多线程记录、动态调整日志级别、丰富的过滤器和自定义日志策略。使用时需要添加JAR文件并配置log4j.pro...
Apache爆日志文件漏洞
qq_41704336的博客
07-18 284
全球使用最广泛的Web服务器Apache近日被爆出了一个安全漏洞,该漏洞可能导致攻击者控制服务器。 该漏洞包含在mod_rewrite 模块中的do_rewritelog()日志函数中。由于该函数还无法完全过滤写入日志文件中的数据,攻击者可以使用特定的HTTP请求将转义序列注入到日志文件中,即有可能在无需取得管理员授权的情况下是服务器执行任意命令。该漏洞主要影响2.2.x分支,其他分支也有可...
严重危害警告 Log4j 执行漏洞被公开
qq_53058639的博客
02-14 1245
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
热门推荐
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
Log4j是一个广泛使用的Java日志记录框架,它允许开发者在应用程序中轻松地记录各种级别的日志信息,如DEBUG、INFO、WARN、ERROR等。在2021年底,一个重大的安全漏洞(CVE-2021-44228)被发现在Log4j2的早期版本中,...
log4j2.17.2
04-14
然而,随着技术的发展,安全问题也日益凸显,特别是2021年底爆出的Log4j2远程代码执行(RCE)漏洞,引发了全球范围内的广泛关注。此次,我们聚焦于“log4j2.17.2漏洞修复程序包”,深入探讨该版本如何解决这一安全...
日志包含漏洞
weixin_74427106的博客
04-23 125
日志是记录访问的记录等等; 我今天在做了ctfshow当中做了一道关于日志包含漏洞的题 web4 <?php include($_GET['url']);?> 开始以为这是一道文件包含漏洞的题,结果试了php为协议和data协议都不行,这里测试一下日志包含漏洞 使用 apache日志: /var/log/apache/access.log 发现没有任何东西会回显 使用nginx日志:/var/log/nginx/access.log或/var/log/nginx/erro
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 2545
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
关于log4j安全漏洞以及版本替换的记录
凉茶冰
07-28 3627
log4j安全漏洞是大事件,早几个月项目上的都已经打完补丁,替换了包了。简单记录下日志这块的使用。目前jdk是java8及以上,要求log4j版本必须是2.17.1。正常SpringBoot集成的时候,先在spring-boot-starter-web依赖中排除掉spring-boot-starter-logging的依赖,然后再引入spring-boot-starter-log4j2就能用了。但是这时候默认的log4j版本太低,我们需要自己引入所需要的版本,按照如上的方式引入即可。......
美国国土安全部:Log4j 漏洞影响将持续十年或更久
smellycat000的专栏
07-15 225
聚焦源代码安全,网罗国内外最新资讯!作者:Jessica Lyons Hardcastle编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系...
2.Log4j漏洞修复及版本号升级
苏秋远的博客
08-02 2615
Log4j漏洞修复、依赖版本号升级
log4j JNDI漏洞CVE-2021-44228 针对于不同版本的解决方案
smlie_shuihan的博客
12-12 4589
问题描述: Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码 漏洞影响版本:2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 看一下目前log4j的maven官方仓库版本,几乎是主流常用版本都受影响 解决方案: 试了一下网上几种方案,绝大部分都是解决 >=2.10 版本的方案 : 1、第一种方案,更新log4j版本 https://github.com/apache/logging-log
Log4j日志漏洞理解
儒雅随和丶mata坤的博客
12-13 1004
Log4j日志漏洞理解
全民日志组件 Apache Log4j2 爆发漏洞,赶紧加班修复
学Java,找哪吒
12-11 6725
一、日志漏洞,劲爆来袭 近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。 据说是阿里团队发现的,再次膜拜阿里爸爸。 漏洞详情: 打印日志时,如果是一段可执行的代码或超链,就会有被执行的可能,类似于sql注入,秒懂没? 这可能导致服务器被黑客控制,从而进行页面篡改、数据被盗、网络瘫痪等行为。 二、解决方案 1、民间解决方案: 升级到最
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

luffy5459

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值