【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程

最新推荐文章于 2024-06-07 14:29:53 发布
最新推荐文章于 2024-06-07 14:29:53 发布
阅读量5.3k 收藏 4
点赞数 4
分类专栏: 开发工具 文章标签: java log4j 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gupaoedu_tom/article/details/121891238
版权

背景

近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

经有关安全团队验证,漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,建议用户尽快参考缓解方案阻止漏洞攻击。

漏洞描述

事件描述
漏洞名称Apache Log4j 远程代码执行漏洞
漏洞类型代码执行
风险等级严重
公开状态已发现
在野利用已发现
漏洞描述Apache Log4j2 是一款优秀的 Java 日志框架。该日志框架被大量用于业务系统开发,用来记录日志信息。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
参考链接https://github.com/apache/logging-log4j2

漏洞复现

目前漏洞rce-exp已网上公开

file

dnslog回显测试

file

易受攻击示例代码


import org.apache.log4j.Logger;

import java.io.*;

public class ExampleHandler implements HttpHandler {

    static Logger log = Logger.getLogger(log4jExample.class.getName());


    public void handle(HttpExchange he) throws IOException {

        String userAgent = he.getRequestHeader("user-agent");
        log.info("Request User Agent:" + userAgent);
        String response = "<h1>Hello There, " + userAgent + "!</h1>";
        he.sendResponseHeaders(200, response.length());
        OutputStream os = he.getResponseBody();
        os.write(response.getBytes());
        os.close();
    }
}

影响范围

Apache Log4j 2.x <= 2.14.1

紧急缓解措施

1、调整JVM参数 -Dlog4j2.formatMsgNoLookups=true

如果是SpringBoot微服务项目,在运行参数中加上

file

如果是传统Web项目,以Tomcat为例,在文件/bin/catalina.sh的前面,增加如下设置:


JAVA_OPTS=-Dlog4j2.formatMsgNoLookups=true

2、修改配置 log4j2.formatMsgNoLookups=True

file

3、修改系统环境变量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true,进入Linux命令行,输入 vi /etc/profile,在最后加入

file

安全建议

1、升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本,已发现官方修复代码,目前尚未正式发布

下载地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

file

Github下载量巨大访问慢,可以关注回复微信公众号『 Tom弹架构 』回复“log4j” 下载最新版Log4j离线jar包。

2、升级已知受影响的应用及组件,如 srping-boot-strater-log4j2 / Apache Solr / Apache Flink / Apache Druid

据悉,Apache Log4j2 日志远程代码执行漏洞因此也影响了所有 Minecraft 服务器。

【影响版本】Apache log4j2 >= 2.0, <= 2.14.1

Minecraft 全版本所有系列服务端,除 Mohist 1.18 外。

参考资料

[1] https://github.com/apache/logging-log4j2

[2] https://github.com/apache/logging-log4j2/commit/7fe72d6

关注微信公众号『 Tom弹架构 』回复“Spring”可获取完整源码。

在这里插入图片描述

本文为“Tom弹架构”原创,转载请注明出处。技术在于分享,我分享我快乐!
如果您有任何建议也可留言评论或私信,您的支持是我坚持创作的动力。关注微信公众号『 Tom弹架构 』可获取更多技术干货!

原创不易,坚持很酷,都看到这里了,小伙伴记得点赞、收藏、在看,一键三连加关注!如果你觉得内容太干,可以分享转发给朋友滋润滋润!

Tom弹架构
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2024年网络安全最全【紧急Apache Log4j任意代码执行漏洞安全风险升级修复教程
2301_79985178的博客
05-01 67
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~
Log4J,在踩坑中升级版本
sunpy
09-17 8241
转载自  http://www.cnblogs.com/flystar32/p/6751895.html 基本概念 Commons-logging apache最早提供的日志的门面接口。避免和具体的日志方案(log4j、logback等)直接耦合。类似于JDBC的api接口,具体的的JDBC driver实现由各数据库提供商实现。JCL的思想也是想通过统一接口解耦,将日志方案的实
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
封神台Apache Log4j任意代码执行复现踩坑到复现成功版
最新发布
zkaq7777777的博客
06-07 174
log4jApache的一个开源项目,是一个基于Java的日志记录框架。Log4j2log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。Apache Log4j2 组件在开启了日志记录功能后,凡是在可触发错误记录日志的地方,插入漏洞利用代码,即可利用成功。特殊情况下,若该组件记录的日志包含其他系统的记录日志,则有可能造成间接投毒。通过中间系统,使得组件间接读取了具有攻击性的漏洞利用代码,亦可间接造成漏洞触发。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 838
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Apache Log4j 漏洞修复
weixin_43354218的博客
12-19 593
Log4j 漏洞修复 文章目录Log4j 漏洞修复1、漏洞介绍2、漏洞修复2.1 1.升级Log4j版本2.2 配置启动参数 1、漏洞介绍 Apache Log4j2 是一款优秀的 Java 日志框架,Log4j 2.x – 2.14.0 版本 Lookup 基于 JNDI(Java Naming and Directory Interface),而 JNDI 支持 RMI ( Remote Method Invocation )。这导致在打印用户输入特定文本时可能远程调用任意代码在本地执行。 2、漏洞
Log4j 任意代码执行漏洞,组件升级
Xzh_java的博客
11-30 286
任意代码执行2021 年 12 月 9 日,该项目被曝存在 严重安全漏洞 ,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码来控制目标机器!Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
Apache Log4j 2.0值得升级
cpongo5
08-05 212
Apache软件基金会最近发布了Log4j 2.0通用版本,相比之前Log4j的1.x版本有了很大的性能提升。本版本的灵感来自于诸如Log4j 1.x和java.util.logging之类的已有日志解决方案,它是经过了数年的努力从头开始编写完成的。\\Log4j 2.0引入了新的插件系统、对properties的支持、对基于 JSON配置的支持和配置的自动化重载。它支持很多已有的日志框架,包括S...
紧急Apache Log4j任意代码执行漏洞安全风险升级修复
2401_84102915的博客
04-05 730
L、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。
log4j-2.18.0
08-04
log4j-2.18.0:修复重大安全漏洞紧急更新》 在IT领域,安全性始终是首要关注的问题。近期,一个名为“log4j2”的严重安全漏洞引发了广泛关注,它影响了所有log4j2版本,从2.0开始直到2.18.0版本之前。这个漏洞...
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
bluemoon_0的博客
02-20 183
使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
apache log4j漏洞升级
sunyiyuan1213的博客
12-20 671
apache log4j漏洞升级
2.Log4j漏洞修复及版本号升级
苏秋远的博客
08-02 2585
Log4j漏洞修复、依赖版本号升级
Log4j漏洞补救 Log4j2 + SLF4j 升级到最新版本
热门推荐
zhaofuqiangmycomm的博客
01-26 1万+
原创:Log4j2 + SLF4j打造日志系统 - 云+社区 - 腾讯云 2019-01-15阅读2.3K0 目录 一:前言 二:添加依赖 2.1:去除直接和间接依赖的log4j1和SLF4j 2.2:添加依赖 三:xml配置 3.1:log4j2.xml常用demo 3.2:demo的优点 3.3:内容详解 3.4:demo变形 3.4.1:同步打印日志 3.4.2:全部异步打印日志 3.4.3:混合模式打印日志 四:其他 4.1:Log日.
Log4j的重大漏洞,必须升级到2.16.0漏洞才能完全解除
Champion-Dai
12-15 4911
Log4j重大漏洞,必须升级到2.16.0! 2.15.0并未完全解决问题
(二)log4j漏洞es升级
qq_33684240的博客
02-11 1564
为了防止es中的log4j漏洞,现将es系统升级一下
apache log4j2 任意代码执行漏洞(cve-2021-44228)
09-18
Apache Log4j2是一个广泛使用的开源日志管理工具。...总之,Apache Log4j2的CVE-2021-44228漏洞是一个严重的安全威胁,可能导致系统被完全控制。及时升级修复版本、加强监控和审查日志活动是应对该漏洞的关键步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tom弹架构

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值