apache log4j2漏洞攻防演练与补丁升级说明

最新推荐文章于 2024-06-15 13:09:49 发布
置顶 最新推荐文章于 2024-06-15 13:09:49 发布
阅读量6k 收藏 4
点赞数
分类专栏: 架构师之路 文章标签: apache 安全 log4j2 漏洞 springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lifetragedy/article/details/121926310
版权

请记得使用2.16.0而不是2.15.0,因为2.15.0本身也有漏洞(刚升完2.15.0的那些人又要折腾了)

漏洞没有人们想的这么可怕

我这边是在12月7号左右得到的情报,当时拿到手我看了一眼,一点没有作出任何担忧。12月9号一早有人给我报了,下午左右我们的安全人员也向我报了。我依旧没有担忧。

是因为log4j这个东西早很多年已经报过几起类似的事件了。因此这一块我特别留意。

首先,我们前端有了腾讯WAF,已经挡掉了类似的攻击。

其次,我们的JDK是1.8但是我们升过一次级,>1.8_191版。因此就算受到攻击了也没事。

当你拥有较高版本jdk1.8(>1.8_191)时攻击进来是什么样的

这是在拥有高版jdk1.8受到攻击时的效果演示

攻击报文

 后端服务器上的显示

 看,什么事都没有。

如果你的jdk1.8版本较低时同时你拥有该漏洞系统会发生什么

我系统内有一个openjdk1.8的早期版本,我把web项目换成这个低版本的jdk然后我们看发生了什么。

把项目的jdk换成低版本

运行项目并喂入攻击参数

它按照我们的有危害代码,在服务器上如期望打开了safari浏览器。

以下是有危害的代码

以下是在本地被打开的safari浏览器。

更恐怖的是我自己还试了:

  • 在远程服务器建立一个目录;
  • 删掉服务器上的Redis

spring boot上如何升级相关的log4j2的全步骤

此次log4j漏洞存在于两个核心lib库:

  1. log4j-core
  2. log4j-api

分配CVE编号:CVE-2021-44228

CVSS评分:10.0(最高只能10分)

因此,对于spring boot项目,我们需要按照如下排查手段

 第一步:先排除spring-boot-starter-log4j2包内的log4j-core和log4j-api

<properties>
    <log4j2.version>2.16.0 </log4j2.version>
</properties>    
    <!-- 先排除老版本log4j2 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-log4j2</artifactId>
        <exclusions>
            <exclusion>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
            </exclusion>
            <exclusion>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
            </exclusion>
        </exclusions>
    </dependency>
    <!-- 先排除老版本log4j2 -->

再把log4j升到最高版本

			<!-- 排除了老版本log4j2后升级到最新的2.15.0 -->
			<dependency>
				<groupId>org.apache.logging.log4j</groupId>
				<artifactId>log4j-api</artifactId>
				<version>${log4j2.version}</version>
			</dependency>
			<dependency>
				<groupId>org.apache.logging.log4j</groupId>
				<artifactId>log4j-core</artifactId>
				<version>${log4j2.version}</version>
			</dependency>
			<!-- 排除了老版本log4j2后升级到最新的2.15.0 -->

第二步:确认该模块内无其它第三方库特别是:nacos、redis、mongo会引入老的log4j-api和log4j-core包,如有:排除掉

比如说,我这边的模块内有用到nacos,而nacos会自己把第三方的log4j-core, log4j-api包引入。因此你除了第一步执行外没用,你会发觉你依然会有“老”的log4j-core和log4j-api包。那么把第三方引入的log4j包也排干净。

           <dependency>
				<groupId>com.alibaba.cloud</groupId>
				<artifactId>spring-cloud-starter-alibaba-nacos-discovery
				</artifactId>
				<version>${nacos-discovery.version}</version>
				<exclusions>
					<exclusion>
						<groupId>org.slf4j</groupId>
						<artifactId>slf4j-api</artifactId>
					</exclusion>
				</exclusions>
			</dependency>

第三步:工程启动不得有log相关红色报警,项目可以起,日志在本地以及相关环境内都可以正常吐出

验证把log4j2升级到了官方最新版后的效果

我们依然使用jdk1.8较低的版本来运行

喂入恶意代码

 得到结果如下

系统终于没有再打开我的safari了,而是直接把这段代码给打印输出了。

截止到这,整个log4j2升级成功。

以上攻击的“攻击环境”不做传授,因为太危险了,这个漏洞是可以“秒杀”你的服务器的,有兴趣的同学自己去研究好了,也不需要来问我,此处只做演示攻击效果来用予说明。

TGITCIC
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
logging-log4j2Apache Log4j 2是对Log4j的升级,相对于其前身Log4j 1.x进行了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback体系结构中的一些固有问题。
01-30
Apache Log4j 2是Log4j的升级版,对Log4j的前身Log4j 1.x进行了重大改进,并提供了Logback中可用的许多改进,同时解决了Logback体系结构中的一些固有问题。 在Github上拉取请求 通过发送拉取请求,您授予Apache Software Foundation足够的权利,以使用和释放Apache许可下提交的作品。 您向Apache Software Foundation授予了相同的权利(版权许可,专利许可等),就好像您已经签署了“贡献者许可协议”一样。 对于被认为是不重要的贡献,将要求您实际签署“ 。 用法 用户应参考Log4j网站上的 ,以获取有关如何使用所选构建工具将Log4j包括到他们的项目中的说明。 Logger API的基本用法: package com.example ; import org.apache.logging.log4j.Logger ; import org.apache.logging.log4j.LogManager ; public class Example { private static final
Apache Log4j2 又出现漏洞,发现者建议尽快升级到 2.16.0
AI研习社
12-18 194
最近的 Log4j2 漏洞想必大家都知道了,11月9日晚开源项目 Apache Log4j 2 的一个远程代码执行漏洞的利用细节被公开,随着 Apache Log4j 2.15.0 正式版...
又被漏洞追着跑?log4j2升级到 2.23.1 操作流程
最新发布
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
06-15 469
Java 用第三方开源包,免不了被漏洞追着跑,几乎每年都要对最新爆出的漏洞组件进行升级,今年要升级的是 log4j2 和 nacos,升级到最新版本。额外补充一下我在将某项目从 log4j 升级log4j2 的过程中碰到的一个小问题,log4j.properties 中引用环境变量的方法是。门面包版本包不匹配时,日志直接被忽略了,别问我怎么知道的,这是我画蛇添足把这个包升级到 2.0.5 后得出的教训。,但是对于 log4j2.xml 配置文件中,这个方式不生效了,而是用 ${sys:系统变量}
log4j2漏洞升级
magic_kid_2010的专栏
12-17 7087
一、影响范围: Apache Log4j 2.x <= 2.15.0-rc1 二、可能受影响的应用不限于以下内容: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Druid Apache Flink ElasticSearch Flume Dubbo Jedis Logstash Kafka Apache Storm 三、解决办法: 1、等待官方升级 log4j2 版本。 2、自己升级 log
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 9913
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
Log4j 任意代码执行漏洞,组件升级
Xzh_java的博客
11-30 277
任意代码执行2021 年 12 月 9 日,该项目被曝存在 严重安全漏洞 ,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码来控制目标机器!Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j2紧急缓解措施.docx
12-16
Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出现了严重的安全漏洞Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修复该漏洞,避免攻击者的攻击。 一、修改启动脚本 在启动 Java 应用程序时,添加一...
apache-log4j-2.16.0-bin.rar
12-17
总之,Apache Log4j2的这个远程代码执行漏洞是一个严重的安全问题,及时升级到2.16.0或更高版本是保护系统免受攻击的关键。企业应当制定并实施有效的安全策略,包括定期更新软件组件,监控系统日志以检测异常行为,...
(二)log4j漏洞es升级
qq_33684240的博客
02-11 1546
为了防止es中的log4j漏洞,现将es系统升级一下
Log4J漏洞补丁(ArcGIS Enterprise适用)
alun550的博客
01-06 1681
ArcGIS Enterprise 的 Log4J 漏洞补丁工具,适用于 ArcGIS 10.9.1 及以下的 ArcGIS Portal、ArcGIS Server、ArcGIS DataStore
apache log4j漏洞升级
sunyiyuan1213的博客
12-20 653
apache log4j漏洞升级
spring boot解决log4j2漏洞升级问题
07-14 1079
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升级的版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了。这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。情况二:使用spring-boot-dependencies依赖进行引用。
【编译办法】Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)补丁办法
Emmett Diary
12-14 3162
log4j-2.15.0-rc2.jar编译过程
终于,Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞
m0_65618219的博客
12-23 1349
Spring Boot 2.6.2 发布 为了应对及解决 Log4j2 的核弹级漏洞,Spring Boot 会在 2021/12/23 左右发布新版: 这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了: 同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线: 2.6.x(新发布) ...
【分布式技术专题】「Zookeeper中间件」zookeeper的服务器的log4j升级log4j2升级方案(忽略配置化兼容问题)
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
01-27 1565
目前希望可以升级将Zookeeper中log4j的版本升级log4j2版本,并且要避开相关的log4j2安全隐患问题,此时需要考虑的就是针对于如何将无缝衔接log4j2的版本jar包的安装呢?我们接下来观察一下看看问题所在。目前我采用的环境是windows环境,不过也同样对其他操作系统有效,毕竟万变不离其宗嘛。以上案例主要采用的是针对于log4j和slf4j的jar包进行相关的处理控制。参考相关的清理相关的jar包指令,可以采用rm / mv指令进行操作处理。下图为Linux版本的相关的jar包展示。
apache log4j2漏洞
01-13
Apache Log4j2是一个流行的Java日志框架,用于记录应用程序的日志信息。然而,最近发现了一个严重的漏洞,被称为Apache Log4j2远程代码执行漏洞。该漏洞允许攻击者通过精心构造的日志消息触发远程代码执行,从而完全控制受影响的应用程序。 攻击者可以通过在日志消息中插入恶意的Java代码来利用此漏洞。当应用程序使用Log4j2来记录这些恶意的日志消息时,Log4j2会尝试解析并执行其中的代码,从而导致远程代码执行。 这个漏洞的危害非常严重,因为它可以被远程利用,而且攻击者可以完全控制受影响的应用程序。攻击者可以执行任意的系统命令、访问敏感数据、篡改应用程序的行为等。 目前,Apache Log4j2的开发团队已经发布了修复此漏洞补丁,并建议所有受影响的用户尽快升级到最新版本。此外,还可以通过配置Log4j2安全策略来限制日志消息的解析和执行,以减轻此漏洞的风险。 如果你想了解更多关于Apache Log4j2远程代码执行漏洞的详细信息,可以参考引用和引用中提供的文章。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TGITCIC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值