2021年12月报Log4j1.2网络安全漏洞排查和修复建议

最新推荐文章于 2024-05-20 18:52:22 发布
最新推荐文章于 2024-05-20 18:52:22 发布
阅读量9.6k 收藏 10
点赞数 2
分类专栏: 工具安装教程 文章标签: web安全 安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lujiawei00/article/details/122038049
版权

  • 漏洞影响范围

Apache Log4j2远程代码执行漏洞CVE-2021-4104:Apache Log4j 1.2

Apache Log4j2远程代码执行漏洞CVE-2021-44228:Apache Log4j 2.0-beta9 - 2.12.1 、Apache Log4j 2.13.0 -

2.15.0-rc1

Apache Log4j2 拒绝服务攻击漏洞CVE-2021-45046:Apache Log4j 2.0-beta9 - 2.12.1、Apache Log4j 2.13.0-2.15.0

Apache Log4j2 拒绝服务漏洞CVE-2021-45105:Apache Log4j 2.0-beta9 - 2.16.0

  • Log4j1.2  受影响

远程代码执行漏洞CVE-2021-4104

修复方法如下优先采用缓解措施):

ApacheLog4j 1.2中存在RCE漏洞(CVE-2021-4104,仅配置为使用JMSAppender时存在,非默认),建议相关用户升级到Log4j 2的最新版本。

缓解措施:

注释或删除 Log4j 配置中的 JMSAppender。

使用此命令从log4j jar包中删除 JMSAppender 类文件:

zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class

参考链接:

http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C1a5a0193-71c4-0613-ca92-f50f801543d9@apache.org%3E

  • Log4j2.x  受影响

拒绝服务漏洞CVE-2021-45046

修复方法如下优先采用缓解措施):

Java8或更高版本应升级到 Apache Log4j 2.16.0 版本。

使用Java 7 的用户应升级到Apache Log4j 2.12.2版本。

删除 JndiLookup 类:

zip-q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

参考链接:

http://mail-archives.apache.org/mod_mbox/www-announce/202112.mbox/%3C13e07d4e-ceb6-e510-be98-7d2ee8fa0a85@apache.org%3E

下载链接:

https://logging.apache.org/log4j/2.x/download.html

注:只有log4j-core JAR文件受CVE-2021-44228和CVE-2021-45046漏洞的影响。只使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不会受到影响

远程代码执行漏洞CVE-2021-44228

修复方法如下优先采用缓解措施):

受影响用户应升级到Apache Log4j 2.15.0-rc2及以上版本,建议升级到 2.16.0 版本(Java 8或更高版本)。

使用Java 7的用户应升级到Apache Log4j 2.12.2版本。

删除 JndiLookup 类:

zip -q -dlog4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

参考链接:

Log4j – Apache Log4j 2

拒绝服务漏洞CVE-2021-45105

Log4j 1.x:不受 CVE-2021-45105 漏洞影响。

Log4j 2.x:Java 8 或更高版本用户建议升级到 2.17.0 版。

缓解措施:

1、在日志配置的 PatternLayout 中,用线程上下文映射模式(%X,%mdc 或%mdc)

替换上下文查找,如${ctx:loginId}或$${ctx:loginId}。

2、否则,在配置中,删除对上下文查找的引用,如 ${ctx:loginId} 或 $${ctx:

loginId},它们源自应用程序外部的源,如 HTTP 头或用户输入。

下载链接:

https://logging.apache.org/log4j/2.x/download.html

注 : 只 有 log4j-core JAR 文件受 CVE-2021-44228 、 CVE-2021-45046 和

CVE-2021-45105 漏洞的影响。只使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不会受到影响。

通用临时方案(CVE-2021-44228)

  1. 建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本;
  2. 对于>=2.10版本:
  3. 添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true;在log4j2.component.properties配置文件中增加如下内容:log4j2.formatMsgNoLookups=true;系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true;
  4. 对于2.7-2.14.1版本:
  5. 可以修改所有PatternLayout模式,将消息转换器指定为%m{nolookups},而不仅仅是%m。
  6. 对于2.0-beta9-2.7版本:
  7. 唯一的缓解措施是删除jndiookup类:

zip -q -dlog4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  1. 禁止安装log4j的服务器访问外网,并在边界对dnslog相关域名访问进行检测。

  • log4j本地检测使用方法

检测结果出现log4j 1.2、log4j 2.x表示受漏洞影响,具体受影响漏洞类型及修复参考第一、二、三章节。

  • windows系统

建议将程序放到磁盘根目录下面,通过cmd控制台执行。若文件较多,时间较长,请耐心等待。

  • linux系统

需将程序放到磁盘 / 根目录下面后,将程序设置为执行权限;

chmod +x log4j_vul_check_linux

 

 附:排查的小工具分享

log4j漏洞排查小工具-网络安全文档类资源-CSDN下载

 

JavinLu
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Log4j的重大漏洞,必须升级到2.16.0漏洞才能完全解除
Champion-Dai
12-15 4871
Log4j重大漏洞,必须升级到2.16.0! 2.15.0并未完全解决问题
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
weixin_44047654的博客
12-11 1513
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
(附nuclei yaml文件)Nacos 身份认证绕过漏洞(CVE-2021-43116)漏洞复现
最新发布
nglj9527的博客
05-20 540
Nасоѕ是一个专为动态服务发现和配置以及服务管理而设计的平台。在 Nасоѕ 1.4.1 之前的版本中,当配置为使用身份验证(-Dnасоѕ.соrе.аuth.еnаblеd=truе)时,Nасоѕ 使用 AuthFiltеr ѕеrvlеt 过滤器强制执行身份验证。该过滤器有一个后门,使 Nасоѕ 服务器能够绕过该过滤器,从而跳过身份验证检查。此机制依赖于用户代理 HTTP 标头,因此很容易被欺骗。此漏洞可能允许任何用户在 Nасоѕ 服务器上执行任何管理任务。。
记一次log4j漏洞修复与吐槽
weixin_44718708的博客
12-21 498
关于log4j漏洞修复与吐槽,然后为什么不使用logback呢?
Log4j爆核弹级漏洞,大厂中招、公司炸锅了...
纯洁的微笑
12-12 7551
作者:研磨架构出处:https://www.zhihu.com/question/505025655/answer/2265086040这周,很多 Java 程序员都忙疯了,因为只要是 J...
一个Log4j 1.2.15引起的一个怪异问题
sys53
06-28 280
大概在2个前已经完成了sword项目的源代码开发,并且在eclipse环境中已经完成了功能性测试。但是打包成jar文件进行运行问题,出现下面的问题:Log4jLoggerFactory 的死循环。 [quote] C:\Documents and Settings\sys53\桌面>java -classpath codesword.jar com.codesword.CodeGener...
Log4j 1.2.15路径替换一个bug
lixjluck的专栏
07-13 270
    Log4j提供了一个路径替换(subst-mechanism)功能,可以实现运行期替换log4j配置文件里${xx}的标记为外部指定的值。    例如:log4j.xml可以指定file的值为"${loggingRoot}/project.log",此时就可以利用log4j的subst功能,把${loggingRoot}替换成具体的路径,如d:/app/logs <appender...
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中...
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
1. `apache-log4j-2.19.0-bin.tar.gz`:这是 Log4j 的 2.19.0 版本二进制包,包含了最新的稳定版本,适用于需要快速修复安全漏洞的用户。 2. `apache-log4j-2.12.4-bin.tar.gz`:这是适用于 Java 7 环境的 2.12.4 ...
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
2021底,一个重大的安全漏洞(CVE-2021-44228)被发现在Log4j2的早期版本中,这个漏洞被称为“Log4Shell”。攻击者可以利用这个漏洞通过精心构造的输入来执行任意代码,对系统造成严重威胁。 标题中提到的“log...
log4j1.2.16 升级到log4j2.1.17
wdd668的专栏
03-28 3033
升级背景:引用apachelog4j2官网描述,有严重的漏洞;加上公司维护的WEB应用使用了非常落后的版本为log4j-1.2.16log4j1.x生命周期已经于2015结束。注意log4j1.x与log4j2.x是两个不兼容的版本。 log4j2.17.1基于JDK1.8编译,所以必须将log4j的应用程序的运行JDK升级到1.8或更高版本 删除旧版本JAR包 删除WEB根目录的WEB-INF/lib旧版本log4j1.x相关的jar包: commons-logging-1.1.jar l.
log4j2安全漏洞修复
carry_666的博客
07-29 715
在tomcat路径/bin/startup.bat(linux是startup.sh)或weblogic域路径/bin/startWeblogic.bat(linux是startWeblogic.sh)中变量JAVA_OPTS(weblogic是JAVA_OPTIONS)用log4j2check_v0.0.3检测工具检测版本远程代码执行漏洞,检出受影响的jar/war包,受影响的扫描结果会保存在当前目录下的vuln.txt文件中。发现此版本并不在影响范围内,只用执行方式一即可。...
Log4j 2.16.0发布,受Log4j漏洞影响的Apache项目一览
码农小胖哥
12-14 2085
今天的早些时候陷入CVE-2021-44228漏洞风波的Log4j发布了2.16.0版本。2.16.0版本强化漏洞防御在2.16.0版本版本中完全删除对Message Lookups的支持...
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4088
spring-boot-starter-log4j2漏洞修复方式
log4j漏洞分析
weixin_47623655的博客
04-11 699
来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
Log4j漏洞原理及修复
o0way0o的博客
01-01 1997
*JNDI(Java Naming and Directory Interface–Java)**命名和目录接口 是Java中为命名和目录服务提供接口的API,通过名字可知道,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其中Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中,同时可通过名字获取对象的属性同时操作属性。
了解 log4j远程代码执行漏洞
钉洲小懒猫的博客
12-15 978
因为log4j辛苦修了一天代码,必须简单吃下这个瓜~~ 输入${jndi:rmi://ip:port/obj}即可触发的漏洞,从修复方案看,升级log4j版本,或者临时方案如: 改配置文件 log4j2.formatMsgNoLookups=True 添加jvm启动参数 -Dlog4j2.formatMsgNoLookups=true 修改环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true 接下来开始一步步简单吃下瓜 临时解决方案均是关闭lookup,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JavinLu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值