一问三不知之log4j2漏洞简析

最新推荐文章于 2025-03-21 16:56:34 发布
最新推荐文章于 2025-03-21 16:56:34 发布
阅读量4.8w 收藏 71
点赞数 31
文章标签: web安全 java log4j2 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lumingzhu111/article/details/121871114
版权
本文介绍了Apache Log4j2的重大安全漏洞,该漏洞允许攻击者通过构造恶意请求执行远程代码。受影响的版本为2.x<=2.14.1,包括Apache Struts2、Solr、Druid、Flink等。修复措施包括升级到2.15.0版本,设置特定的系统环境变量或JVM参数,以及限制网络连接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.log4j2漏洞介绍

1.1简介

Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback架构中的一些问题。是目前最优秀的Java日志框架之一。

2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

通过JNDI注入漏洞,黑客可以恶意构造特殊数据请求包,触发此漏洞,从而成功利用此漏洞可以在目标服务器上执行任意代码。注意,此漏洞是可以执行任意代码,这就很恐怖,相当于黑客已经攻入计算机,可以为所欲为了,就像已经进入你家,想干什么,就干什么,比如运行什么程序,植入什么病毒,变成他的肉鸡。


在这里插入图片描述

在这里插入图片描述

1.2 漏洞评级及影响版本

Apache Log4j 远程代码执行漏洞 严重

影响的版本范围:Apache Log4j 2.x <= 2.14.1

2.log4j2 漏洞简单演示

创建maven工程
引入jar包依赖

<dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.0</version>
        </dependency>
    </dependencies>

编写log4j2配置文件

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">

    <!--全局参数-->
    <Properties>
        <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property>
        <Property name="logDir">/data/logs/dust-server</Property>
    </Properties>

    <Loggers>
        <Root level="INFO">
            <AppenderRef ref="console"/>
            <AppenderRef ref="rolling_file"/>
        </Root>
    </Loggers>

    <Appenders>
        <!-- 定义输出到控制台 -->
        <Console name="console" target="SYSTEM_OUT" follow="true">
            <!--控制台只输出level及以上级别的信息-->
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout>
                <Pattern>${pattern}</Pattern>
            </PatternLayout>
        </Console>
        <!-- 同一来源的Appender可以定义多个RollingFile,定义按天存储日志 -->
        <RollingFile name="rolling_file"
                     fileName="${logDir}/dust-server.log"
                     filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout>
                <Pattern>${pattern}</Pattern>
            </PatternLayout>
            <Policies>
                <TimeBasedTriggeringPolicy interval="1"/>
            </Policies>
            <!-- 日志保留策略,配置只保留七天 -->
            <DefaultRolloverStrategy>
                <Delete basePath="${logDir}/" maxDepth="1">
                    <IfFileName glob="dust-server_*.log" />
                    <IfLastModified age="7d" />
                </Delete>
            </DefaultRolloverStrategy>
        </RollingFile>
    </Appenders>
</Configuration>

创建测试类Log4j2Demo

public class Log4j2Demo {

    private static  final Logger LOGGER=LogManager.getLogger();
    public static void main(String[] args) {
        String username="${java:os}";

        LOGGER.info("Hello, {}",username);
    }
}

运行结果

[INFO] Building log4j2-bug-test 1.0-SNAPSHOT
[INFO] --------------------------------[ jar ]---------------------------------
[INFO] 
[INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---
2021-12-11 11:44:14,654  INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  1.140 s
[INFO] Finished at: 2021-12-11T11:44:14+08:00
[INFO] ------------------------------------------------------------------------

在这里面我们可以看到使用${}可以实现漏洞的注入,假设username为用户登录的输入框,即可从这个输入框进行注入,既可查看到一些后台系统信息,如果有黑客在使用JNDI编写恶意代码注入的话,后果是非常严重的。

3. log4j2 快速修复措施

修改log4j2版本
据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本,主要是那个log4j-core包,漏洞就是在这个包里产生的,如果你的程序有用到,尽快紧急升级。

临时解决方案

  1. 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

  2. 设置“log4j2.formatMsgNoLookups=True”

  3. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

  4. 关闭对应应用的网络外连,禁止主动外连

java高级工程师/技术专家面试技术能力系列之三JUC系列,面试涉及到多线程的话题(一)
java技术专家全栈成长之路
03-28 283
目的: 希望能够给面试者一些助益,主要是涉及到多线程的一些话题,通过代码的解析,希望读者能够学会和理解里面的重点,在面试的时候发挥出来,不至于面试时候一问三不知!本系列会面向 java高级的工程师以及技术专家系列来提高读者的水平! 1、JUC1_ThreadVolatile 主要功能是做volatile 关键字 代码讲解 /******************************************** * 模块名称: 主要功能是做volatile 关键字 代码讲解 * 功能说明
java高级工程师/技术专家面试技术能力系列之二java基础知识涉及UDP与TCP
java技术专家全栈成长之路
03-28 191
目的 就是希望java面试者在面试的时候能够回答上面试官的问题,不至于一问三不知。这个题目主要是问题四次挥手的过程以及三次握手的过程(中级java会问到),我们面试会深一点会问及UDP与TCP的java代码。 比如如何实现二进制转化为String,Socket是如何通信的,UDP 通信使用的是DatagramPacket ,TCP通信使用功能的是ServerSocket 。 1.java代码二进制转为String这个要知道,通过转成String,那就可以序列化为JSON对象 public Str.
Log4j2漏洞
qq_45455136的博客
03-08 793
Log4j2漏洞简介Log4j2介绍LDAPJNDIJNDI可访问的服务命名服务(Naming Service)JNDI命名引用注入Log4j2漏洞原理Log4j2漏洞影响Log4j2漏洞排查方法Log4j2漏洞复现Log4j2 RCE漏洞修复 Log4j2介绍 Log for Java,Apache的开源日志记录组件,使用非常广泛 基本操作 pom引入依赖 获得logger实例 logger.info() debug() error() warn() … LDAP Lightweight Direct
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
热门推荐
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Logback反序列化(CVE-2023-6378)漏洞修复方案
最新发布
AoiMukou01的博客
03-21 668
针对logback的 CVE-2023-6378 漏洞,建议更新到如下系列对应版本:logback-classic 和 logback-core 的修补版本分别为:1.4.12、1.3.12 和 1.2.13。-- 漏洞版本 -->-- 显式声明 logback-core(确保版本一致) -->-- 显式声明 logback-core(确保版本一致) -->-- logback-classic(漏洞版本) -->-- logback-classic(安全版本) -->Maven重构项目,下载新的依赖。
log4j2漏洞分析
weixin_47623655的博客
04-11 1420
漏洞标识符为CVE-2021-44228,通常称为Log4Shell或Log4j漏洞,它存在于Log4j的JNDI查找功能中。攻击者可以通过特殊构造的请求利用此漏洞,向Log4j发送恶意请求,从而触发远程代码执行(RCE)漏洞,进而获得服务器上的完全控制权限。这个漏洞的危害非常大,由于Log4j广泛应用于各种Java应用程序中,这意味着攻击者可以利用该漏洞轻松攻击大量的目标。
log4j2反序列化漏洞
故事讲予风听
07-02 638
Log4j 是一个流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标。它采用了模块化的架构,包含多个组件,如日志器(Logger)、输出器(Appender)、格式器(Layout)、过滤器(Filter)等。这些组件可以根据需要进行配置和组合,以满足各种日志记录需求。
面试了一位4年的软件测试朋友,一问三不知,还反过来怼我...
d513202的博客
03-17 455
昨天公司的HR小席刚跟我吐槽:这几个星期没有哪天不加班的!各种招聘网站上的消息源源不断,连吃饭都要回消息…… 看来最近大家跳槽的心都很活跃。之前我向HR要简历,他们都是单个文件发送简历过来,现在直接发送压缩包给我!我的桌面已经快被简历塞满了!!! 我精挑细选之后开始了电话面试,比较特别的是,这次面试我就把提问的主动权交给候选人,让他挑自己擅长的知识点来自问自答。 有这么一位程序员:他在面试中依然停留在表面的概念,对于一些优化和细节回答的支支吾吾! 而最让我感触深刻的是他面试结束后的反问: 我日
前端面试一问三不知怎么办
03-05
前端面试中的一问三不知是指面试官问一个问题,面试者不知道答案,然后面试官再问三个相关问题,面试者仍然不知道答案。面试者在遇到这种情况时可以采取以下几种策略: 1. 诚实回答:如果你确实不知道问题的答案,...
java高级工程师/技术专家面试技术能力系列之三JUC系列,面试涉及到多线程的话题(二)
java技术专家全栈成长之路
03-28 289
目录 目的: 7、创建执行线程的方式三:实现 Callable 接口。 相较于实现 Runnable 接口的方式,方法可以有返回值,并且可以抛出异常。 8、使用线程 模拟一下生产者和消费者 9、多线程模拟火车票买票卖票 目的: 希望能够给面试者一些助益,主要是涉及到多线程的一些话题,通过代码的解析,希望读者能够学会和理解里面的重点,在面试的时候发挥出来,不至于面试时候一问三不知!本系列会面向 java高级的工程师以及技术专家系列来提高读者的水平! 7、创建执行线程的方式三:实现 Callabl
Log4j2 漏洞与解决方案】
m0_46459413的博客
12-29 559
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重新编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
log4j2漏洞
weixin_41040188的博客
05-27 664
1、实验 实验对象: Log4j2版本(注意不是log4j1.x版本) 实验版本: Jdk1.8.131 log4j-core2.11.1 问题代码: ${date:YYYY-MM-dd}被解析成时间2022-04-06 2、临时解决方案: 1、设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true” 2、(推荐)设置“log4j2.formatMsgNoLookups=True” 以第二条方案为例,亲测有效: 执行后效果: ...
Log4j2漏洞分析(CVE-2021-44228)
本散修的一些学习心得与笔记,道友请自便。
09-19 1622
深入理解Log4j2漏洞&&总结与思考
核弹级漏洞,我把log4j底裤都给扒了
MachineGunJoe666
12-12 1158
大家好,我是周杰伦。 相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂**:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!** log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,
Apache log4j2漏洞
m0_63645854的博客
06-13 652
本文介绍了log4j2的远程代码执行漏洞
Log4j2 远程代码执行漏洞(CVE-2021-44228)
qq_68163788的博客
06-18 1553
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228是Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
log4j2漏洞原理
07-28
log4j2漏洞是指Apache Log4j2框架中存在的一个安全漏洞,该漏洞被称为"Log4Shell"或"CVE-2021-44228"。该漏洞的原理是由于log4j2框架在处理日志消息时,会自动解析并执行包含特定JNDI注入代码的日志消息。这意味着攻击者可以通过构造恶意的日志消息,利用JNDI注入来执行任意的远程命令。具体来说,攻击者可以在日志消息中使用JNDI注入表达式,通过远程JNDI服务器加载恶意的类或执行任意的命令。 这个漏洞的危害非常严重,攻击者可以通过发送恶意的日志消息来远程执行任意代码,可能导致服务器被完全控制,数据泄露,或者其他恶意行为。该漏洞已经被广泛利用,并且已经影响了许多应用程序和系统。 需要注意的是,log4j2漏洞只存在于使用了受影响版本的log4j2框架的应用程序中。为了解决这个漏洞,建议开发人员升级到log4j2安全版本,并采取其他安全措施,如配置安全策略、限制日志消息的内容等,以减少潜在的风险。 #### 引用[.reference_title] - *1* *3* [log4j2漏洞原理和漏洞环境搭建复现](https://blog.csdn.net/dreamthe/article/details/123230283)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [一文读懂面试官都在问的Log4J2漏洞](https://blog.csdn.net/YangYubo091699/article/details/130087573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值