Apache Log4j 漏洞 CVE-2021-45046

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量1.1k 收藏
点赞数 2
分类专栏: 其他 文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heijunwei/article/details/121963180
版权

一、攻击流程

二、影响范围

三、排查方法

  1、可以通过检查日志中是否存在 jndi:ldap:// 、jndi:l:rmi等字符来发现可能的攻击行为

  2、奖惩日志的相关堆栈报错,信息里面是否有JndiLookup、ldapURLContext等于jndi调用相关的堆栈信息

  3、利用工具

四、修复思路

 1、禁止用户请求参数出现攻击关键字;

 2、禁止lookup下载远程文件;

 3、禁止log4j的应用连接外网;

 4、禁止log4j使用lookup;

 5、从log4j jar包中删除lookup;

五、 修复方案

1、将Log4j框架升级到2.16.0版本

2、使用安全产品防护:WAF、PASP......

3、升级JDK到11.x之后 (零时方案)

4、修改Log4j配置 (零时方案)  

     (1)修改jvm参数 -Dlog4j2.formatMsgNoLookups=true

     (2)修改配置

       log4j2.formatMsgNoLookups=True

     ( 3)将系统环境变量

      FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

5、删除JndiLookup.class (零时方案)

 六、spring-boot 修复

 maven配置修改:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-log4j2</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.16.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.16.0</version>
</dependency>

gradel 配置修改

configurations {
    //排除对默认logging的依赖
    compile.exclude module: 'spring-boot-starter-logging'
}

implementation 'org.apache.logging.log4j:log4j-api:2.16.0'
implementation 'org.apache.logging.log4j:log4j-core:2.16.0'

心灵彼岸-诗和远方
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4103
spring-boot-starter-log4j2漏洞修复方式
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 1296
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
log4j2.xml配置文件不生效
hey_wei_ran的博客
03-18 847
log4j2.xml配置文件不生效
在IDEA的java项目中使用log4j,配置文件log4j2-test.xml不生效
李闪闪
10-03 4489
1、log4j2-test.xml配置看官网:Log4j – Configuring Log4j 2https://logging.apache.org/log4j/2.x/manual/configuration.html 2、问题:控制台输出日志信息,修改level的的值不生效,仍是只能输出error以上级别的信息 <?xml version="1.0" encoding="UTF-8"?> <Configuration status="warn"> <Appen
Log4j2.xml不生效:WARN StatusLogger Multiple logging implementations found:
听香水榭
11-24 1562
处理log4j2.xml不生效问题
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码来远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
apache-log4j-2.16.0-bin.rar
12-17
然而,2021年底,一个严重漏洞被发现,被称为“Log4Shell”或CVE-2021-44228,这个漏洞允许攻击者通过在日志记录中注入恶意代码,实现远程代码执行(RCE),对受影响的系统造成严重威胁。 该漏洞源于Log4j2的一个...
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...
apache-log4j-2.17.0-bin.tar.gz
12-22
7. **安全性**:Log4j 2.17.0修复了一个名为CVE-2021-44228的重大安全漏洞,该漏洞允许攻击者通过控制日志输入来执行任意代码。定期更新到最新版本对于保护系统免受此类攻击至关重要。 8. **插件系统**:Log4j支持...
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
weixin_44047654的博客
12-13 1749
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
Log4j 漏洞修复和临时补救方法
12-14 3780
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
logback替换log4j
weixin_30810583的博客
01-11 260
1.新建logback.xml放在src目录下(放在src下会自动加载,不需要再web.xml配置) 2.引入必要的jar包; 转载于:https://www.cnblogs.com/chafe/p/6274322.html
解决log4j2配置文件失效的问题
热门推荐
Parker的博客
07-19 1万+
今天运行项目的时候,查看控制台突然发现日志的输出格式变了,但最近又没动过log4j的配置文件,所以非常的困惑。 最后怀疑是加载了别的地方的配置文件或者因为某些原因使用了默认的配置属性。 后来在网上发现很多相类似的问题,其中大多数原因都是因为包冲突或包里含有额外的配置文件等造成的。 由此我也怀疑是最近新增加的activemq-all包而引发的问题。 于是在Tomcat的VM参数里添加-Dlo...
Log4j漏洞修复
培根芝士的专栏
12-30 2056
Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。 12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 简单来说,就是在打印日志时,如果发现日志内
Apache Log4j 漏洞修复
weixin_43354218的博客
12-19 554
Log4j 漏洞修复 文章目录Log4j 漏洞修复1、漏洞介绍2、漏洞修复2.1 1.升级Log4j版本2.2 配置启动参数 1、漏洞介绍 Apache Log4j2 是一款优秀的 Java 日志框架,Log4j 2.x – 2.14.0 版本 Lookup 基于 JNDI(Java Naming and Directory Interface),而 JNDI 支持 RMI ( Remote Method Invocation )。这导致在打印用户输入特定文本时可能远程调用任意代码在本地执行。 2、漏洞
springboot log4j升级log4j2
Mint6的博客
05-13 1586
log4j2升级步骤 在多线程情况下,使用log4j可能会阻塞其他线程,从而导致整体性能下降并出现性能瓶颈。所以需要升级到性能更好并支持异步的log4j2。
Log4j2漏洞 CVE-2021-45046详情
十一仓
12-16 2520
当前描述 发现 Apache Log4j 2.15.0 中针对 CVE-2021-44228 的修复在某些非默认配置中不完整。当日志配置使用带有上下文查找(例如,$${ctx:loginId})或线程上下文映射模式( %X、%mdc 或 %MDC)使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。默认情况下,Log4j 2.15.0 尽最大努力将 JNDI LDAP 查找限制为 localhost。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来
apache log4j CVE-2021-44228漏洞怎么解决
06-03
Apache Log4j 2.x中存在一种命令注入漏洞,攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升级到最新版本 Apache Log4j 2.x发布了修复此漏洞的版本2.17.0,建议用户尽快升级到该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值