log4j jndi 漏洞解决办法

最新推荐文章于 2024-07-20 07:00:00 发布
最新推荐文章于 2024-07-20 07:00:00 发布
阅读量4.3k 收藏 1
点赞数
文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuyun996/article/details/121983296
版权

log4j jndi 漏洞解决办法

受影响版本:从 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0 的所有版本

Log4j 1.x 不受此漏洞影响。

Log4j 2.x 通过以下方法之一缓解:

  • Java 8(或更高版本)用户应升级到 2.16.0 版。
  • 从类路径中删除 JndiLookup 类: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

请注意,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

最安全的做法是将 Log4j 升级到安全版本,或者从 log4j-core jar 中删除 JndiLookup 类

在 2.12.2 版本中,消息查找功能已完全删除。配置中的查找仍然有效。此外,Log4j 现在默认禁用对 JNDI 的访问。 JNDI 查找现在将返回一个常量值。此外,Log4j 现在默认将协议限制为只有 java。

在 2.16.0 版本中,消息查找功能已完全删除。配置中的查找仍然有效。此外,Log4j 现在默认禁用对 JNDI 的访问。现在需要显式启用配置中的 JNDI 查找。此外,Log4j 现在默认将协议限制为仅 java、ldap 和 ldaps,并将 ldap 协议限制为仅访问 Java 原始对象。需要明确允许本地主机以外的主机。

fuyun996
关注
Log4j2的JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2738
前言 最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4jLog4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组
log4j2 JNDI注入漏洞问题处理
逗神的博客
12-13 3207
log4j2 JNDI注入漏洞问题处理
Java安全』基础JNDI注入原理和手段探究(低版本)
Ho1aAs‘s Blog
01-17 4009
文章目录客户端加载恶意RMI Remote类原理实现限制参考完 客户端加载恶意RMI Remote类 原理 codebase是一个URL、引导JVM查找类的地址 Client在lookup加载过程中会先在本地寻找Stub类,如果没有找到就向codebase远程加载Stub类。 若设置codebase为http://foo.com,加载com.test.Test类时便会下载http://foo.com/com/test/Test.class 那么只要控制Server端的codebase(修改Client端的c
Log4j2原理及应用详解(十一)
最新发布
凛鼕将至的博客
07-20 1015
随着Logback的兴起,Log4j开始式微。为了应对这一挑战,Apache软件基金会决定开发Log4j的继任者——Log4j2。Log4j2不仅改进了Log4j的缺点,还借鉴了Logback的许多优点,号称在性能上完胜Logback。 本文将跟随《Log4j2原理及应用详解(十)》的进度,继续介绍Log4j2。希望通过本系列文章的学习,您将能够更好地理解Log4j2的内部工作原理,掌握Log4j2的使用技巧,以及通过合理的设计完成最佳实践,充分发挥优化Log4j2的潜力,为系统的高效运
log4j关于JNDI注入漏洞验证及修复
影子的博客
12-11 7688
log4j关于JNDI注入漏洞验证及修复一、漏洞说明二、漏洞检测方案三、影响范围四、影响组件五、彻底解决方案六、临时缓解方案七、漏洞复现八、本地编译log4j-2.15.0-rc版本方法1、下载源码2、安装JDK8、9、11。3、用idea打开源码4、修改toolchains-sample-win.xml文件的JDK安装路径5、修改maven的conf目录下的toolchains.xml文件,设置java11的安装路径6、编译安装到本地仓库 一、漏洞说明 漏洞原理官方表述:Apache Log4j2 中存在
JNDI注入漏洞
qq_61553520的博客
05-23 1355
基于Reference的远程/本地加载Factory类,攻击端需要启动LDAP/RMI目录服务,当攻击机请求之后,就会加载远程/本地的Factory来实现远程代码执行。反序列化的利用则是直接注入恶意的序列化数据,来达到远程代码执行的目的。
Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228)
qq_41696518的博客
06-13 950
环境:使用Vulhub的漏洞环境工具:bp和JNDIExploit-1-1.2,需要Java环境!!
log4j jndi注入漏洞
Ye的博客
04-06 1152
JNDI、LDAP、log for java: log4j Java程序日志监控组件
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
log4j2.17.2
04-14
此次,我们聚焦于“log4j2.17.2漏洞修复程序包”,深入探讨该版本如何解决这一安全隐患。 Log4j2漏洞(CVE-2021-44228)的本质在于,攻击者可以通过操纵日志输入,触发JNDIJava Naming and Directory Interface)...
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
总的来说,Apache Log4j2漏洞的解决需要综合考虑升级、配置修改和安全监控等多个方面。对于开发者和运维人员来说,理解漏洞的原理并采取有效的应对措施至关重要,以防止潜在的攻击并保护系统的安全性。通过及时修复...
Log4j2安全 JNDI漏洞 CVE-2021-44228
Keep learing, and stay fast
12-15 1611
12 月 10 日,Apache 开源项目 Log4j 的远程代码执行漏洞(CVE-2021-44228) 被公开
JNDI漏洞利用探索
m0_67105288的博客
02-19 1250
最近学习了师傅寻找的一些JNDI漏洞的利用链受益匪浅,自己也尝试关于JNDI漏洞利用做一些挖掘,目前JNDI在利用过程我想到了两个问题。 测试每一个JNDI Bypass 利用链都需要手动更改URL很不方便,能否我去请求一个地址,让目标将我所有的链跑一遍? JNDI利用过程中可以通过反序列化利用,能否自动化探测反序列化利用链? 自动测试Bypass 利用链 为了让这种方式更加通用,我们首先考虑的是JDK原生的实现ObjectFactory的类,那么我注意到了下面几个类。 com.sun.jndi.r
漏洞深度分析|Apache Karaf 4.2.16 存在JNDI 注入漏洞
LJQClqjc的博客
12-23 1096
棱镜七彩漏洞深度分析
jackson-databind-2653: JNDI注入导致远程代码执行漏洞通告
爱国小白帽
03-15 2121
jackson-databind-2653: JNDI注入导致远程代码执行漏洞通告 360-CERT [360CERT](javascript:void(0)???? 昨天 0x00 漏洞背景 2020年3月14日, 360CERT监测到jackson-databind官方发布一则issue,漏洞出现在shiro-core这个package jackson-databind 是隶属 FasterXML...
JNDI 注入漏洞的前世今生
有价值炮灰
12-14 3680
前两天的 log4j 漏洞引起了安全圈的震动,虽然是二进制选手,但为了融入大家的过年氛围,还是决定打破舒适圈来研究一下 JNDI 注入漏洞JNDI 101 首先第一个问题,什么是 JNDI,它的作用是什么? 根据官方文档,JNDI 全称为 Java Naming and Directory Interface,即 Java 名称与目录接口。虽然有点抽象,但我们至少知道它是一个接口;下一个问题是,Naming 和 Directory 是什么意思?很多相关资料都对其语焉不详,但其实官方对其有详细解释。 N
Log4j 远控JNDI漏洞: 原理?如何解决?
缘字诀的博客
12-12 2691
Log4j 远控JNDI漏洞: 原理?如何解决?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值