复现apache log4j2(CVE-2021-44228)漏洞,如何修复该漏洞

已于 2023-04-03 08:04:23 修改
阅读量279 收藏
点赞数
分类专栏: 小白摆烂操作 文章标签: log4j apache
于 2023-04-03 08:00:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56065966/article/details/129920965
版权

拉取镜像docker pull vulfocus/log4j2-rce-2021-12-09:latest

查看镜像docker images

创建环境docker run -d -P vulfocus/log4j2-rce-2021-12-09

docker ps -a

访问漏洞环境http://192.168.236.128:32768

        修复apache log4j2(CVE-2021-44228)漏洞:

在修复前先备份系统或应用程序数据,并在测试环境中进行修复。

升级至Log4j 2.16.0版本或更高版本,该版本已经修复了漏洞。可以从Log4j的官方网站(https://logging.apache.org/log4j/2.x/download.html)下载最新版本,解压并替换原有的Log4j库文件。

        如果无法升级至最新版本,可以进行临时修复:

方法一:禁用Log4j的JNDI Lookups功能。可以在应用程序或服务器的启动参数中添加如下参数:-Dlog4j2.formatMsgNoLookups=true。该参数会禁用Log4j的JNDI Lookups功能,从而防止攻击者利用该功能进行攻击。

方法二:在服务器上配置安全措施。可以在服务器上配置安全措施,如WAF、IDS/IPS等,对入站请求进行检查和过滤,以防止恶意请求进入服务器。

优先考虑升级至最新版本,因为该版本不仅修复了漏洞,还包括其他修复和改进。如果无法升级,可使用方法一进行修复。如果无法使用方法一,可使用方法二。在修复完成后,建议进行全面的安全性测试,确保修复效果。

如果使用的是较旧版本的Log4j,且不打算升级至最新版本,建议监视并关注Log4j的官方通告,并在发布新的安全补丁时及时进行更新。

Kalika0-0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
2. `apache-log4j-2.12.4-bin.tar.gz`:这是适用于 Java 7 环境的 2.12.4 版本二进制包,包含了针对 CVE-2021-44228 的补丁。 3. `apache-log4j-2.3.2-bin.tar.gz`:这是适用于 Java 6 的 2.3.2 版本二进制包,同样...
apache-log4j-2.16.0-bin.rar
12-17
然而,2021年底,一个严重漏洞被发,被称为“Log4Shell”或CVE-2021-44228,这个漏洞允许攻击者通过在日志记录中注入恶意代码,实远程代码执行(RCE),对受影响的系统造成严重威胁。 该漏洞源于Log4j2的一个...
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(四)—漏洞修复原理(2.15.0-RC1、2.15.0、2.16.0)
跳小闹成长记
12-14 3168
本文将和大家一起对Log4j2的漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞在Java高低版本中的不同攻击原理 3、Log4j2漏洞在Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
Apache Log4j2远程代码执行漏洞排查及修复手册
宏伟
12-31 3301
https://www.cnvd.org.cn/webinfo/show/7146
log4j2漏洞以及解决方案
学习不止境的博客
08-10 4419
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Apache Log4j 2 漏洞修复指南(CVE-2021-44228)
Wraith的博客
12-10 8367
Apache Log4j 2 漏洞修复指南 CVE-2021-44228 Log4j 团队已注意到一个安全漏洞 CVE-2021-44228,该漏洞已在 Log4j 2.15.0 中得到解决。 Log4j 的 JNDI 支持没有限制可以解析的名称。某些协议不安全或允许远程代码执行。Log4j 在默认将协议限制为仅 java、ldap 和 ldaps,并将 ldap 协议限制为默认仅访问本地主机上提供的 Java 原始对象。 允许暴露此漏洞的一个向量是 Log4j 允许查找出在日志消息中。从 Log4j
漏洞log4j2 CVE-2021-44228
zg_111的博客
03-20 2516
漏洞log4j2 CVE-2021-44228漏洞
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
Apache Log4j 2修复漏洞CVE-2021-44832
平庸
12-30 992
Apache Log4j 2修复漏洞CVE-2021-44832
ApacheLog4j2.xRCE漏洞修复步骤(CVE-2021-44228)
薄炙厚词的博客
08-24 741
Apache log4j2.x版本rce漏洞修复方法
vCenter修复Apache log4j2漏洞CVE-2021-44228, CVE-2021-45046)
qq_27248929的博客
12-21 4519
2021年12月Apache log4j远程执行漏洞影响到的VMware产品列表:VMSA-2021-0028.4 (vmware.com)。 本次我们所涉及到的产品及版本是vSphere6.7下的vCenter Server Application6.7.x,以下是加固的配置步骤: 1)首先打开vCenter的shell连接,需从控制台进入vCenter虚机进行配置操作,具体为进入排错模式,Enable shell和SSH选项; 2)打开xshell 通过SSH连接vCenter进行命令行.
CVE-2021-44228 Apache Log4j2 远程代码执行漏洞
热爱学习,喜欢折腾!
09-03 4217
Apache Log4j2 是 Apache 软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广。
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 9904
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
热门推荐
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
Apache log4j2 远程命令执行漏洞修复方案
杨小熊学习笔记
12-14 6407
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
Log4j(CVE-2021-44228)核弹级漏洞应急响应之旅
jimmyleeee的专栏
12-15 3228
可能大家都知道了Log4j的远程代码执行漏洞CVE-2021-44228),又造成了很多安全运维和开发团队的不眠之夜。下面是参加此次应急响应的过程,简单写下来,以供将来改善。 收到此漏洞之后,公司的团队做了以下紧急安排: 首先,联系Blue Team,根据攻击特征制定相应的防火墙规则,先挡一阵子。事实证明也只能挡一阵子,很快各种绕过就出来了,例如:https://github.com/SecuProject/Pentest-Cheat-Sheet/blob/master/Discovery/HTTP
apache log4j CVE-2021-44228漏洞怎么解决
最新发布
06-03
Apache Log4j 2.x发布了修复漏洞的版本2.17.0,建议用户尽快升级到该版本。 2.使用安全策略文件 在升级之前,可以通过使用安全策略文件来限制日志信息中使用的类和方法,以减少攻击面。可以使用以下命令生成策略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值