Log4j2漏洞

最新推荐文章于 2024-05-05 13:11:44 发布
最新推荐文章于 2024-05-05 13:11:44 发布
阅读量2w 收藏 7
点赞数 4
文章标签: 安全 web安全 网络 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20025777/article/details/121849994
版权

2021/12/15漏洞更新如下

官方链接CVE:http://cve.scap.org.cn/vuln/VHN-408570
安全公告编号:CVE-2021-45046

发现 Apache Log4j 2.15.0 中针对 CVE-2021-44228 的修复在某些非默认配置中不完整。当日志配置使用带有上下文查找(例如,$${ctx:loginId})或线程上下文映射模式( %X、%mdc 或 %MDC)使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。默认情况下,Log4j 2.15.0 尽最大努力将 JNDI LDAP 查找限制为 localhost。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来修复此问题。

官方链接CNVD:https://mp.weixin.qq.com/s/ybPdlNY98J2xSsep9bllUA
安全公告编号:CNTA-2021-0032
公开日期:2021.12.09漏洞细节被公开
漏洞危害:高危、远程代码执行

漏洞分析

Apache Log4j2 的远程代码执行漏洞细节被公开,该漏洞一旦被攻击者利用会造成严重危害。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重,我们建议企业第一时间启动应急响应进行修复。此外,经过我们复现和验证,TDP 基于其自研的通用漏洞检测引擎,已于数月前支持对此次最新漏洞的检测,无需任何更新:
在这里插入图片描述

可能的受影响应用包括但不限于如下:

Spring-Boot-strater-log4j2
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
flume
dubbo
Redis
logstash
kafka

检测及修复方案

1、紧急缓解措施:

(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true

(2) 修改配置log4j2.formatMsgNoLookups=True

(3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

2、检测方案:

(1)由于攻击者在攻击过程中可能使用 DNSLog 进行漏洞探测,建议企业可以通过流量监测设备监控是否有相关 DNSLog 域名的请求,微步在线的 OneDNS 也已经识别主流 DNSLog 域名并支持拦截。

(2)根据目前微步在线对于此类漏洞的研究积累,我们建议企业可以通过监测相关流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。

3、修复方案:

检查所有使用了 Log4j2 组件的系统,官方修复链接如下:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

微小的xx
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
Log4J2漏洞CVE-2021-44228)原理
m0_62466350的博客
05-07 2484
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发 者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏 洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶 意请求,触发远程代码执行漏洞,从而获得目标服务器权限。漏洞适应版本:2.0
log4j2漏洞分析
cjdgg的博客
04-11 6735
log4j2漏洞分析环境布置前言 环境布置 和前面的JNDI注入时用的代码差不多 package Log4j2; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class); public stat
2024年log4j RCE漏洞原理分析及检测_log4j 漏洞监测,34岁程序员年薪50w
最新发布
2401_84254418的博客
05-05 949
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 5088
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务Log4j2 在特定的版本由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息替换变量的函数,是通过配置文件的${}语法调用的,例如:如果在日志消息使用了,那么 log4j2 将使用 lookup 函数从系统属性查找名为 “my.property” 的属性值,并将其替换为实际值。
Log4j2 漏洞与解决方案】
m0_46459413的博客
12-29 489
这本是个不常用的插件,但代码触发到的频率很高,高到你代码每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重新编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
Log4j2漏洞详解(自学)
m0_64481831的博客
03-05 1449
Log4j2Apache下的流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标,被应用于业务系统开发,用于记录程序输入输出日志信息。Log4j2Apache的日志框架,用来记录和管理日志信息的。Log4j2漏洞的原理是因为默认支持解析LDAP/RMI协议,且使用了占位符如{},并会解析里面的内容进行替换,所以攻击者就可以利用这一点构建特殊的恶意的占位符来进行攻击。
log4j2漏洞检测工具
05-07
1、检测项目是否存在log4j漏洞 2、工作使用
LOG4J RCE 漏洞分享与自查.pdf
12-15
Log4j RCE 漏洞是近期爆发的一种高危漏洞,它影响了全球许多业务线,原因在于引入的 Log4j2 2.10.0 版本存在的漏洞。本文将详细介绍 Log4j RCE 漏洞的成因、漏洞复现、检测方法和解决方案。 漏洞原因: Log4j ...
Log4j2 RCE漏洞分析
03-14
记录一下log4j2 RCE的原理
Log4j2漏洞检测工具
02-06
Apache log4j 2是一款开源的Java日志记录框架,提供方便的日志记录,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程,以便用于编写程序时进行调试,在项目上线后出现状况时也可根据日志记录来判断...
Log4j2漏洞 CVE-2021-45046详情
十一仓
12-16 2507
当前描述 发现 Apache Log4j 2.15.0 针对 CVE-2021-44228修复在某些默认配置完整。当日志配置使用带有上下文查找(例如,$${ctx:loginId})或线程上下文映射模式( %X、%mdc 或 %MDC)使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。默认情况下,Log4j 2.15.0 尽最大努力将 JNDI LDAP 查找限制为 localhost。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来
log4j2漏洞原理和漏洞环境搭建复现
热门推荐
dreamthe的博客
03-03 1万+
背景 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。 log4j3远程代码执行漏洞主要由于存在JN
Apache Log4j 2.15.0未发现漏洞曝光
qq_43529978的博客
12-17 1680
整理:、左耳 出品:CSDN 12月7日游戏平台Minecraft用户在网上曝光Apache Log4j 2存在漏,攻击者可直接构造恶意请求,触发远程代码执行该漏洞Apache Log4j 作为一款优秀的Java日志框架,被大量的主流开源框架采用,如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,这样的一个使用广泛的底层框架出现问题,对全球多家企业及个人造成了严重危害。虽然Apache Log4j在当天就发布了2.15.0-rc1版本且在.
javaLog4j漏洞本地复现,远程执行脚本
Passer_hua的博客
02-09 407
log4j远程执行脚本漏洞复现
Log4j 远程执行漏洞 版本小于2.15.0-rc2
huofuman960209的博客
12-14 4198
公开日期:2021.12.09漏洞细节被公开 漏洞危害:高危、远程代码执行 可能的受影响应用包括但不限于如下: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Flink Apache Druid ElasticSearch flume dubbo Redis logstash kafka 影响版本 apache log4j2 2.0 -2.15.0-rc1 完整修复版本 >= 2.15.0.0 &lt.
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法限制了ldap服务
log4j漏洞检测
仅此而已
01-02 2798
1、检测工具下载 下载链接:https://pan.baidu.com/s/1KrLdKf7RbuH4fuz4xw_lcw 提取码:hg37 2、Windows环境检测 将检测工具log4j_vul_check_win.exe放到磁盘根目录执行,工具会将有log4j漏洞的项目显示出来 3、Linux环境检测 将检测工具log4j_vul_check_linux放到磁盘根目录,工具会将有log4j漏洞的项目显示出来 chmod u+x log4j_vul_check_linux ./log4j_vul_c
log4j 安全问题验证demo & CRLF注入漏洞
weixin_42299862的博客
12-31 7665
一、环境准备 https://blog.csdn.net/weixin_42299862/article/details/111993837 二、demo 1、使用 @Log4j2 log.error() 打印异常日志是否会泄露敏感信息? https://www.cnblogs.com/huanghuanghui/p/11775731.html https://www.cnblogs.com/qlqwjy/p/7192947.html 代码如下 如果有红线语法错误,参考https://blog.csdn.n
log4j2漏洞原理
07-28
log4j2漏洞是指Apache Log4j2框架存在的一个安全漏洞,该漏洞被称为"Log4Shell"或"CVE-2021-44228"。该漏洞的原理是由于log4j2框架在处理日志消息时,会自动解析并执行包含特定JNDI注入代码的日志消息。这意味着...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值