Agile Alliance log4j2“核弹级”漏洞,你中招了吗

已于 2022-03-30 14:02:16 修改
阅读量3.9k 收藏
点赞数
分类专栏: 测试心得 问题Issue 文章标签: log4j2 JNDI lookup 漏洞 pom.xml
于 2022-03-30 13:41:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21685903/article/details/123842360
版权
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。基于此,进行的思考、复现及分析漏洞、解决方法和总结。
摘要由CSDN通过智能技术生成

1 问题背景

漏洞编号

CNVD-2021-95914

漏洞名称

Apache Log4j任意代码执行漏洞

漏洞性质

任意代码执行

漏洞描述

12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。

根据“微步在线研究响应中心”消息,可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互联网企业都连夜做了应急措施。斗鱼、京东、网易、深信服和汽车产业安全应急响应中心皆发文表示,鉴于该漏洞影响范围比较大,业务自查及升级修复需要一定时间,暂不接收 Log4j2 相关的远程代码执行漏洞。

漏洞危害

Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据被日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码,可能对用户造成不可挽回的损失

危害等级

严重

影响版本及范围

2.0 <= Apache log4j2 <= 2.14.1

2 分析原因及复现漏洞

2.1 相关知识介绍

2.1.1 最简单的日志打印

// 通过表单接收name等字段,并且在日志中生成一条记录
public void login(string username){
  String username = "test";  //表单接收name字段
  logger.info("{},登录了", username); //logger为log4j
}

    日志会显示

INFO  test,登录了

    思考&

最低0.47元/天 解锁文章
AllisWell_WP
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dublinbike:ScreenSSH PythonJavaScriptJQuery烧瓶Jinja2 SQLAWS EC2AgileTeam工作项目
05-11
AWS / Python / Linux / MySQL / Google地图API / Google图表/开放天气API / JSON / flask / jinja2 / Bootstrapt / JQuery 由于信用已过期,AWS EC2已关闭,Web应用程序的结果将通过图片显示。 创建了一个Web应用...
HTB打靶日记:Agile
m0_73998094的博客
03-05 2073
HTB打靶日记:Agile
oracle agile 性能,Oracle Agile PLM安全漏洞(CVE-2016-3554)
weixin_42452580的博客
04-03 206
Oracle Agile PLM安全漏洞(CVE-2016-3554)发布日期:2016-07-21更新日期:2016-07-25受影响系统:Oracle Supply Chain Products Suite 9.3.5Oracle Supply Chain Products Suite 9.3.4描述:CVE(CAN) ID: CVE-2016-3554Oracle Agile产品生命周期管理...
安装Agile Controller
weixin_34005042的博客
08-30 3119
预安装系统的:用户名:SWMaster 密码:Changeme123前提下载一、安装SQL数据库步骤如下输入产品密钥勾选接受许可条款产品更新检查检查安装环境设置安装角色功能选择安装规则保持默认实例配置检查磁盘空间要求服务器配置SQL服务器配置指定服务账户配置数据库身份验证模式错误报告检查安装环境准备安装完成安装二、安装agile 打开Agile Controller文件,点...
华为agile controller磁盘爆满问题解决
weixin_34404393的博客
04-26 548
原因:华为agile controller的数据库C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA\AgileControllerDB_log.LDF文件过大,当时我们有126G左右了。 华为agile controller磁盘爆满解决三步走:1.把AgileControllerDB的恢复模式修改为简单(...
安全HCIP之Agile Controller-Campus系统
XiaoHG_CSDN的博客
10-15 2145
Agile Controller-Campus系统 Agile Controller-Campus系统包括四部分管理中心( MC)、业务管理器( SM)、业务控制器( SC)以及客户端,网络接入设备( NAD )作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行; ...
Agile PLM PX事件程序加入日志,log4j2
namelessmyth的专栏
12-27 536
需求描述 在px事件程序中启用log4j日志功能,方便事件程序的问题原因分析。 操作步骤 在事件程序项目中引入log4j-1.2.15以上版本的jar包。 在事件处理类中写上打印日志的语句。例如: private static final Logger log = LogManager.getLogger(IActionSupport.class); public EventActionResult doAction(IAgileSession session, INode node, IEv
AgileFramework系列组件——agile-log日志打印组件
萌教授的博客
09-22 255
agile-log : 日志打印组件 源码地址:https://gitee.com/agile-framework/agile-log 它有什么作用 控制层执行过程日志打印 无代码入侵 通过嵌入过滤器方法实现日志打印 支持自定义扩展 通过实现接口cloud.agileframework.log.ExecutionObjectProvider注入到spring容器,即可实现对控制层执行过程数据的扩展 快速入门 开始你的第一个项目是非常容易的。 步骤 1: 下载包 您可以从[最新稳定版本]下
彻底解决SLF4J的日志冲突的问题
苦行僧
11-05 2514
今天公司同事上线时发现,有的机器打印了日志,而有的机器则一条日志也没有打。以往都是没有问题的。 因此猜测是这次开发间接引入新的日志jar包,日志冲突导致未打印。 排查代码发现,系统使用的是SLF4J框架打印log4j2的日志。查看系统中引入的jar包发现果然有多个SLF4J的桥接包。于是排掉冲突jar包,然后上线时所有机器都正常打印日志 先上一张关系图:SLF4J框架、各种具体日志实现以及相应桥接包的关系图 一、起因 由于线上系统要接入很多中间件,因此系统中会有各种各样的日志打印形式(例如:log4j2
Agile Extension tothe BABOKv2® Guide
01-17
Agile methods and approaches have become prevalent in recent years. The ideas which were identified in the realm of software product develbeyond software development into many other areas that opment ...
Agile foundations 2 days training
08-19
Agile foundations 2 days training, very helpful for beginner of Agile.
agile2go:Rails 4-Backbone.js-SemanticUI
05-14
敏捷2Go 这个应用程式适合我的投资组合Agile2Go是一个经过充分测试的应用程序,可在Elastic Beanstalk上运行,并使用ribs.js,Rails作为API,实时Firebase和Monalab作为DaaS构建设置git clone cd agile2go 捆耙db:...
开题报告宠物医院管理系统的设计与实现 已通过开题答辩的.docx
07-25
随着人们生活水平的提高和精神需求的增加,宠物已经成为很多家庭的重要成员,宠物市场的规模和潜力也不断扩大。宠物医院作为宠物健康保障的重要机构,需要适应市场的发展和变化,提供更加专业和便捷的服务。宠物医院的业务和信息涉及多个方面,如科室信息、医生信息、坐诊信息、药品信息、挂号信息、网站公告信息等。如果采用传统的手工或半自动化的管理方式,会造成信息的分散、混乱、更新困难、查询不便等问题,影响管理的效率和质量。系统能够通过计算机技术和网络技术对宠物医院业务进行集中管理。它可以实现信息的录入、存储、查询、修改、删除、统计、分析、展示等功能,方便宠物医院的管理人员和工作人员进行业务操作和决策支持。宠物医院管理系统还可以利用网络技术,向宠物主人和宠物爱好者提供在线的服务和咨询,方便宠物主人和宠物爱好者了解和关爱自己的宠物,增强宠物医院的社会影响力和竞争力。综上所述,宠物医院管理系统是一个具有实际意义和应用价值的选题,它可以为宠物医院的管理和服务提供有效的支持,为宠物主人和宠物爱好者提供便捷的服务和咨询,为宠物的健康和福利做出贡献。
主成分分析算法Python代码.txt
最新发布
07-25
数学建模模型python实例。
Linux环境安装Redis 6.2.9
07-25
Linux环境安装Redis 6.2.9
b107校园悬赏任务平台-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-25
校园悬赏任务平台对字典管理、论坛管理、任务资讯任务资讯公告管理、接取用户管理、任务管理、任务咨询管理、任务收藏管理、任务评价管理、任务订单管理、发布用户管理、管理员管理等进行集中化处理。经过前面自己查阅的网络知识,加上自己在学校课堂上学习的知识,决定开发系统选择小程序模式这种高效率的模式完成系统功能开发。这种模式让操作员基于浏览器的方式进行网站访问,采用的主流的Java语言这种面向对象的语言进行校园悬赏任务平台程序的开发,在数据库的选择上面,选择功能强大的Mysql数据库进行数据的存放操作。校园悬赏任务平台开发让用户查看任务信息变得容易,让管理员高效管理任务信息。 校园悬赏任务平台具有管理员角色,用户角色,这几个操作权限。 校园悬赏任务平台针对管理员设置的功能有:添加并管理各种类型信息,管理用户账户信息,管理任务信息,管理任务资讯公告信息等内容。 校园悬赏任务平台针对用户设置的功能有:查看并修改个人信息,查看任务信息,查看任务资讯公告信息等内容。 系统登录功能是程序必不可少的功能,在登录页面必填的数据有两项,一项就是账号,另一项数据就是密码,当管理员正确填写并提交这二者数据之后,管理员就可以进入系统后台功能操作区。项目管理页面提供的功能操作有:查看任务,删除任务操作,新增任务操作,修改任务操作。任务资讯公告信息管理页面提供的功能操作有:新增任务资讯公告,修改任务资讯公告,删除任务资讯公告操作。任务资讯公告类型管理页面显示所有任务资讯公告类型,在此页面既可以让管理员添加新的任务资讯公告信息类型,也能对已有的任务资讯公告类型信息执行编辑更新,失效的任务资讯公告类型信息也能让管理员快速删除。
Matlab实现蚁狮优化算法ALO-TCN-Multihead-Attention多输入单输出回归预测算法研究.rar
07-25
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值