log4j2漏洞分析,解决方案

已于 2022-03-06 12:33:09 修改
阅读量750 收藏
点赞数 1
分类专栏: IT杂项 IT技术交流 文章标签: 安全 java web安全
于 2021-12-18 14:32:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39129185/article/details/122011843
版权

请添加图片描述于2021年12月10日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,apache Log4j组件存在严重安全漏洞。全球大约70%的企业和网站将会受到此漏洞的影响,受到攻击,且此漏洞触发频繁、攻击难度低,因此log4j被媒体称为核弹级别漏洞

攻击原理

log4j是Apache的一个基于java的日志记录组件,log4j2是Apache的一个重构,引入了丰富功能,广泛用于记录程序输出日志信息。
请添加图片描述

Apache Log4j2中采用了LDAP的简单目录服务结构进行日志的查询。在查询时,通过jndi注入漏洞,攻击者可直接构造恶意请求,触发远程代码执行漏洞。简言之,黑客通过jndi注入在无授权情况下直接控制你的电脑(一般为服务器居多)。使之直接成为肉鸡,进而可搭建僵尸网络,分布式ddos攻击

漏洞危害

Log4j的各版本已经覆盖绝大多数企业应用和知名网站。已经成为广泛依赖组件,因此IT行业从业人员的排查带了不小困难,从github上看,官方也对此次漏洞措手不及
基于java版的Minecraft大多服务器也因此,连夜停运,进行漏洞修复
请添加图片描述log4j影响分布图
请添加图片描述
log4j攻击数量

漏洞情况

漏洞等级:高危,该漏洞影响范围极广,危害极大。
CVSS评分: 10(最高级)
受影响的版本:Apache log4j2 2.0 - 2.14.1 版本均受影响。
安全版本:Apache log4j-2.15.0-rc2

修复建议

1.官方现已发布相应的安全版本,将含有log4j 2依赖的更新至官方 log4j-2.15.0-rc1 版本(但最近好像又暴出来0day漏洞)

2.修改JVM参数,设置 -Dlog4j2.formatMsgNoLookups=true

<span class="wp_keywordlink_affiliate">
<a href="http://www.lanqibing.com/tag/log4j2/" title="View all posts in log4j2" target="_blank">log4j2</a>
</span>.formatMsgNoLookups=true

3.在涉及漏洞的项目的类路径(classpath)下增加
log4j2.component.properties
4.配置文件并增加配置项
log4j2.formatMsgNoLookups=true
5.将系统环境变量
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true

我的博客文章地址http://blog.huimy.top/18/172.html

hui-梦苑
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2.15.0版本的log4j安全漏洞
weixin_42008717的博客
05-17 321
并删除了无用的log4j-1.2.17.jar。已在Root的lib目录下替换新的jar包。
Log4j2 RCE漏洞分析
03-14
记录一下log4j2 RCE的原理
log4j2 2.15.0 仍有安全漏洞
bch1991的博客
12-17 4006
Apache Log4j 2.15.0 正式版已发布,安全漏洞 CVE-2021-44228 已得到解决。 目前log4j2的最新版本已经更新到2.16.0 Apache Log4j 2 Apache Log4j 2 is an upgrade to Log4j that provides significant improvements over its predecessor, Log4j 1.x, and provides many of the improvements availabl.
log4j log4j2 2.15.0漏洞解决
12-10
log4j2 2.15.0解决漏洞
Java框架安全篇--log4j2远程代码执行漏洞
最新发布
m0_63138919的博客
04-06 732
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
log4j2漏洞检测工具
05-07
1、检测项目中是否存在log4j的漏洞 2、工作使用
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
关于log4j安全漏洞以及版本替换的记录
凉茶冰
07-28 3159
log4j的安全漏洞是大事件,早几个月项目上的都已经打完补丁,替换了包了。简单记录下日志这块的使用。目前jdk是java8及以上,要求log4j的版本必须是2.17.1。正常SpringBoot集成的时候,先在spring-boot-starter-web依赖中排除掉spring-boot-starter-logging的依赖,然后再引入spring-boot-starter-log4j2就能用了。但是这时候默认的log4j版本太低,我们需要自己引入所需要的版本,按照如上的方式引入即可。......
记一次Log4j2漏洞处理
qq644266189的博客
12-14 1030
漏洞描述: Log4j是Apache旗下的一款Java开源日志记录工具,在Java生态圈中得到广泛应用。本次漏洞使攻击者可利用Log4j2进行跳过验证,进行远程代码执行;由于Log4j2的广泛应用于java应用中,所以该次漏洞影响非常严重。 涉及版本: Log4j2 2.0-2.14都受影响 漏洞解决: 关键:通过升级版本为安全版本,经查验安全版本为2.15.0 对于漏洞,官方紧急发布了两个安全的测试版本2.15.0-rc1与2.1...
高性能日志框架 log4j 2 之 一
G探险者的博客
01-03 1555
前言 本文是自学log4j2 ,参考阿帕奇官网,对log4j2 的官方文档翻译 Apache Log4j 2 Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了许多 Logback 中可用的改进,同时修复了 Logback 架构中的一些固有问题。 重要:安全漏洞 CVE-2021-44832 摘要:当攻击者控制配置时,Apache Log4j2 通过 JDBC Appender 容易受到 RCE 的攻击。 细节 Apache Log
Log4j2远程代码执行漏洞复现(cve-2021-44228)
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4j是Apache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
炸了..Log4j2 再爆漏洞,v2.17.1 横空出世。。。
Java技术栈,分享最主流的Java技术
12-30 643
Log4j 2.17.0 再爆雷 Log4j 1.x, Log4j 2.x, Logback 的漏洞刚告一段落,栈长本以为这件事可以在 Log4j v2.17.0 这个版本终结了,没想到。。。 就在昨天,栈长打开公众号,在《团灭!Log4j 1.x 也爆雷了。。。速速弃用!!》一文中,有小伙伴给栈长留言: WC!又来漏洞??? 栈长也去 Log4j2 官方验证了下: Log4j 又发 v2.17.1 了,Log4j v2.17.0 又有远程代码执行漏洞,加上本次的漏洞,这是 Log4j 2.x 近期爆
springboot升级log4j2,解决漏洞问题
芝麻年糕的博客
12-17 6312
最近log4j2爆出有重大漏洞问题,公司也紧急要求各个项目自己查验,要求将log4j的版本升到安全版本
Log4j2安全 JNDI漏洞 CVE-2021-44228
Keep learing, and stay fast
12-15 1546
12 月 10 日,Apache 开源项目 Log4j 的远程代码执行漏洞(CVE-2021-44228) 被公开
手把手教你复现apache log4j2 漏洞
叶新东老师的博客
12-15 4524
前言 因为log4j2是java的日志框架, 所在这边也使用java进行测试,需要注意的是,log4j2的版本从2.0 ~ 2.14.1之间都是有安全漏洞的, 在2.15版本(包含2.15)后就已经修复了这个漏洞;所以我们在复现时只要版本不超过2.15即可; 准备 在复现前,需要先准备以下几样东西 nginx:无版本限制 Intellij idea :用来编写jmdi 服务端代码,和测试log日志 log4j 依赖:(maven自动下载) 开整 因为是远程执行漏洞嘛,所以肯定需要用到不同的工程,这里准备
Log4j高危漏洞原理及复现
热门推荐
qq_51302564的博客
12-15 1万+
Log4j高危漏洞原理及复现 漏洞检测||复现环境 查看JDK版本,发现版本小于1.8u121 图3-7 查看JDK版本 查看log4j2版本,发现版本在2.x <= 2.14.1内 图3-8 查看log4j2版本 查看代码,发现存在log4j2相关的lookup语句 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w9LtKVys-1639577266999)(C:\Users\BLACKF~1\AppData\Local\Temp\ksohtml\wps3AFF.
[Java安全]—log4j2 rce复现
Sentiment的博客
07-09 981
漏洞爆出已经半年多了,可当时还是个java啥都不懂的菜鸡所以也没能及时复现,现在捡起来复现下21年席卷整个安全圈的log4j2漏洞log4j 是 javaweb 的日志组件,用来记录 web日志 去指定下载文件的url 在搜索框或者搜索的 url 里面加上${jndi:ldap://127.0.0.1/test} ,log4j 会对这串代码进行表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 $ 是会被直接执行的。后面再去指定下载文件的 url,去下载我们的恶意
Log4j2安全漏洞引起的思考
manok的专栏
01-26 671
log4j安全漏洞能够从代码级别上和软件成分分析上两个维度上进行检测。
log4j2漏洞原理
07-28
为了解决这个漏洞,建议开发人员升级到log4j2的安全版本,并采取其他安全措施,如配置安全策略、限制日志消息的内容等,以减少潜在的风险。 #### 引用[.reference_title] - *1* *3* [log4j2漏洞原理和漏洞环境搭建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hui-梦苑

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值