Apache Log4j 2.15.0未发现漏洞曝光

最新推荐文章于 2024-05-26 08:32:52 发布
最新推荐文章于 2024-05-26 08:32:52 发布
阅读量1.6k 收藏
点赞数
文章标签: apache 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43529978/article/details/121993962
版权
整理:、左耳出品:CSDN12月7日游戏平台Minecraft用户在网上曝光Apache Log4j 2存在漏,攻击者可直接构造恶意请求,触发远程代码执行该漏洞。Apache Log4j 作为一款优秀的Java日志框架,被大量的主流开源框架采用,如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,这样的一个使用广泛的底层框架出现问题,对全球多家企业及个人造成了严重危害。虽然Apache Log4j在当天就发布了2.15.0-rc1版本且在.
摘要由CSDN通过智能技术生成

整理:、左耳

出品:CSDN

12月7日游戏平台Minecraft用户在网上曝光Apache Log4j 2存在漏,攻击者可直接构造恶意请求,触发远程代码执行该漏洞。Apache Log4j 作为一款优秀的Java日志框架,被大量的主流开源框架采用,如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,这样的一个使用广泛的底层框架出现问题,对全球多家企业及个人造成了严重危害。虽然Apache Log4j在当天就发布了2.15.0-rc1版本且在后续的几天里不断更新版本用以修复漏洞。但是Apache Log4j依旧有漏洞存在。

12月14日,Apache软件基金会公布了Log4j 2.15.0版本的一个最新漏洞--CVE-2021-45046。该漏洞指出,Log4j 2.15.0版本允许本地拒绝服务攻击,但影响有限。可是在Log4j 2.15.0版本中,还有一个漏洞并没有被Apache官方发现,而是被一家提供网络安全解决方案的Praetorian公司发现了。

近日 Praetorian 发布了一条消息宣称,经过研究显示,2.15.0版本在某些情况下仍然允许敏感数据渗出。Praetorian已经将该技术细节提交给Apache软件基金会,但是在该漏洞未修复前,他们强烈建议使用者尽快升级到2.16.0版本。下图为Praetorian发现的漏洞部分演示过程。

最低0.47元/天 解锁文章
、左耳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Apache Log4j漏洞解决,log4j版本升级2.15.0
Java码农杂谈
12-17 1万+
文章目录前言一、查看当前log4j版本二、升级log4j版本 前言    log4j发生了巨大漏洞,可以在远程直接在服务器上执行多种操作,被戏称log4shell,众多公司面临解决log4j漏洞问题,本文主要介绍log4j升级版本相关 一、查看当前log4j版本 首先需要确认下当前项目是否引入了log4j?引入的log4j版本是多少?有些项目可能没有直接引入,但引入的其他组件中使用了log4j,所以需要仔细排查一下! 这里,我们可以使用IDEA编译器带的maven s.
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4jlog4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压...
Log4j 远程执行漏洞 版本小于2.15.0-rc2
huofuman960209的博客
12-14 4204
公开日期:2021.12.09漏洞细节被公开 漏洞危害:高危、远程代码执行 可能的受影响应用包括但不限于如下: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Flink Apache Druid ElasticSearch flume dubbo Redis logstash kafka 影响版本 apache log4j2 2.0 -2.15.0-rc1 完整修复版本 >= 2.15.0.0 &lt.
Druid授权漏洞进一步的利用
最新发布
qq_53058639的博客
05-26 1093
对于druid授权,大多数白帽子在做测试的时候都是当作一个低危的信息泄露来处理,但是其实如果利用条件都达成了,运气够好的话,造成的危害还是不小的。这也告诉我们以后碰到这种授权漏洞,可以多收集一些信息,扩宽一下测试思路,说不定就能获得更大的收获。
Log4j2中2.15.0版漏洞(CVE-2021-45046)的注入原理、复现步骤和如何修复(2.16.0修复原理)
跳小闹成长记
12-20 6704
Log4j2发布2.15.0版修复了Log4j2基于Ldap的注入漏洞之后。2.15.0的版本很快就被爆出了新的注入漏洞。但是这次漏洞爆出之后,大家却不怎么着急升级,到底是为什么呢?这就需要从该漏洞的原理以及影响说起了。接下来我们就一起来探索下该漏洞的原理、复现步骤、影响范围,以及官方在2.16.0版本中是如何修复的。
【转载】二次通告--Apache log4j-2.15.0-rc1版本存在绕过风险,请广大用户尽快更新版本
jason的java世界
12-10 1088
【转载自360众测】 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。 2021年12月09日,360漏洞云监测到Apache 官方于2021年12月07日发布了log4j-2.15.0-rc1版本。经360漏洞安全专家研...
最新:Log4j 2.x 再发版,正式解决核弹级漏洞,又要熬夜了。。。
Java技术栈,分享最主流的Java技术
12-12 775
背景 这几天为了应对《突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!》,Log4j2 连续发布了两个 RC(Release Candidate)候选版本。 在第一次的 RC1 候选版本中,Log4j2 还存在漏洞绕过风险,官方随后又发布了 RC2,现在终于彻底解决了,2.15.0 版本转正,正式发布: 有没有被折腾过两次的? Log4j 2.15.0 正式版来了,可真正用于生产环境,所以,现在你可能还要再折腾一次。。。 解决漏洞:CVE-2021-44228 漏洞原因: Log4j2 中
apache log4j-2.15.0-rc2 编译后的jar文件
12-13
apache log4j-2.15.0-rc2 编译后 jar 文件 应对 Apache Log4j2远程代码执行漏洞 jar文件在每个组件下的 target 文件夹中 jar文件在每个组件下的 target 文件夹中 jar文件在每个组件下的 target 文件夹中
log4j-2.15.0-rc2.zip
12-10
针对这一重大安全事件,Apache迅速发布了Log4j 2.15.0作为第一个紧急修复版本,但随后发现了新的攻击方式,使得2.15.0版本仍存在一定的风险。因此,Apache推出了Log4j 2.15.0-rc2,这是一个修订版,旨在解决之前版本...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
1214 最新!Log4j 再发版,彻底斩断核弹级漏洞,又要熬夜了。。。
Java技术栈,分享最主流的Java技术
12-14 212
点击关注公众号,Java干货及时送达背景这几天为了应对《突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!》,Log4j2 连续发布了两个 RC(Release Candida...
Log4j又发新版2.17.0,只有彻底搞懂RCE漏洞原因,以不变应万变,小bai也能看懂
Java大将军的博客
12-20 1523
经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0版本之后没有过多久,又发声明说 2.15.0版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。
严重危害警告 Log4j 执行漏洞被公开
qq_53058639的博客
02-14 1148
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
热门推荐
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
Log4j安全漏洞前车之鉴,呕心整理工作中常用开源组件避坑版本
bytearch
01-21 3185
前段时间log4j安全漏洞事件,可以说掀起了一场”血雨腥风“,正好最近做了一个项目对安全要求特别高,对有安全漏洞开源组件做了统一修复。特此总结,希望对大家以后选择组件版本时有所帮助。
解决项目中log4j版本漏洞
weixin_43573186的博客
12-29 4030
解决项目中log4j版本漏洞 前言:作为程序员应该都知道最近log4j出现的漏洞问题,讲一讲我所在的公司,其实领导在log4j被爆出存在漏洞的当天就在群里说了这个事,并且让我们把自己负责的系统都检查一遍,有使用到log4j存在漏洞版本都要进行更新(因为有些版本还没爆出存在安全问题),但是当时都没什么人去注意,结果直到上周末,我们组负责的一个缴费系统出现不能缴费的情况,才发现是中了病毒。然后领导们开始极度重视,专门安排人监督我们来更新log4j版本。 废话不多说了,讲一下我负责的系统更新方式: 首先,一般
javaLog4j漏洞本地复现,远程执行脚本
Passer_hua的博客
02-09 424
log4j远程执行脚本漏洞复现
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 7654
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Apache Log4j详解:Pro Apache Log4j Second Edition精华
"《log4j的参考手册——Pro Apache Log4j Second Edition》是由Samudra Gupta撰写的一本关于log4j的专业指南。作者拥有深厚的Java和J2EE背景,他在书中分享了其在公共税务、国家安全系统、零售工业及电子商务应用等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

、左耳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值