Apache Log4j2模拟漏洞复现及解决方案

最新推荐文章于 2024-05-06 22:39:28 发布
最新推荐文章于 2024-05-06 22:39:28 发布
阅读量3.8k 收藏 1
点赞数 1
分类专栏: 中间件 网络安全 文章标签: apache 安全 java Log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qrainly/article/details/121906848
版权

前言:上周五有关开源日志框架Log4j2高危漏洞预警发出后,这几天各大互联网公司都在加班加点做紧急漏洞处理。这是个什么漏洞呢?有多大危害,搞得互联网任人心惶惶!

目录

漏洞背景

开源框架Apache Log4j2是一款非常优秀的日志记录框架,功能丰富,性能优越,应用于大量的业务系统中,深受广大java开发者的喜爱。
本次漏洞其实是基于log4j2的lookup功能造成的,当用户输入的日志参数非法${XXX}时,log4j2并没有做严格的校验,而是会解析非法参数${}中的内容并执行。这样就会给一些非法分子利用此漏洞的机会,发送一些系统操作命令,从而控制服务器,造成不可估量的损失。

影响范围

2.0版本到2.15.0-rc1均会收到影响
一些开源工具也收到影响(flink/solr/druid/kafka…)

解决方案

紧急方案:
jvm启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true

最终方案:
及时更新至Apache Log4j 2.15.0-rc2版本

漏洞复现

整体流程
请添加图片描述

模拟业务逻辑打印日志

新建工程并添加依赖
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter</artifactId>
	<exclusions>
		<exclusion>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-logging</artifactId>
		</exclusion>
	</exclusions>
</dependency>

<dep
最低0.47元/天 解锁文章
qrainly
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Log4j 漏洞和临时补救方法
12-14 3753
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
Log4j2漏洞
热门推荐
weixin_51519028的博客
08-12 1万+
Apache Log4j2是 Apache软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。2021 年 12 月 9 日晚,Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......
log4j2原理分析及漏洞
HUANGXIN9898的博客
10-23 861
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。在java中最常用的日志框架是log4j2和logback,其中log4j2支持。
2024年网络安全最全【紧急】Apache Log4j任意代码执行漏洞安全风险升级修教程,网络安全教程
最新发布
2401_84263282的博客
05-06 989
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Apache Log4j2漏洞
weixin_51151498的博客
01-23 1373
Apache Log4j2漏洞
log4j2漏洞(CVE-2021-44228)
weixin_45585955的博客
05-11 7460
一、原理介绍 由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实目标服务器的任意代码执行,获得目标服务器权限。 二、vulfocus靶场安装 docker pull vulfocus/vulfocus:latest docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.16..
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Apache Log4j2 远程代码执行漏洞检测工具
12-15
使用这些检测工具,用户可以快速定位并解决Log4j2漏洞,防止恶意攻击者利用该漏洞对系统进行控制。重要的是,不仅要运行这些工具,还应结合其他安全措施,例如更新到最新的Log4j2补丁版本,审查和加固日志配置,以及...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j2紧急缓解措施.docx
12-16
Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出了严重的安全漏洞Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修漏洞,避免攻击者的攻击。 一、修改启动脚本 在启动 Java 应用程序时,添加一...
log4j 漏洞CVE-2021-44228 漏洞
kyliuw的博客
03-08 6005
log4j 漏洞CVE-2021-44228 漏洞
log4j漏洞分析
weixin_47623655的博客
04-11 682
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
Apache Log4j 高危漏洞缓解和修措施
雨橙Orainge的博客
02-13 847
(3)将系统环境变量:LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true。则表示该项目引用了受影响的版本的 Log4j2,需要尽快查看项目代码,结合实际情况进行处理。2、使用 Logback 的项目,为了保险起见,心有余力还是升级以下,以防万一。如果是 maven 管理的项目,通过升级 log4j 的版本解决漏洞。对所有使用到 Log4j 组件的项目进行升级,使用最新版本。如果检查到例如下方的结果:(2
【实战】一次简单的log4j漏洞测试
crowsec
12-19 3258
【实战】一次简单的log4j漏洞测试
手把手教你Log4j2漏洞,千万别中招!
Java知音
12-13 2179
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/qq_40989258/article/details/1218623630x00 简介ApacheLog4j2是一个...
全民日志组件 Apache Log4j2 爆发漏洞,赶紧加班修
学Java,找哪吒
12-11 6680
一、日志漏洞,劲爆来袭 近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。 据说是阿里团队发的,再次膜拜阿里爸爸。 漏洞详情: 打印日志时,如果是一段可执行的代码或超链,就会有被执行的可能,类似于sql注入,秒懂没? 这可能导致服务器被黑客控制,从而进行页面篡改、数据被盗、网络瘫痪等行为。 二、解决方案 1、民间解决方案: 升级到最
log4j CVE-2019-17571 漏洞
01-02 1万+
一、漏洞描述 Log4j1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。 二、漏洞 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
一步解决Apache Log4j2 漏洞
weixin_44767053的博客
12-10 1042
一步解决Apache Log4j2 漏洞1.spring boot项目快速处理漏洞定位最终解决方案方案2(同适应非继承boot的Maven项目) 1.spring boot项目快速处理漏洞 定位 进入springboot父工程 进入父工程依赖管理 修改坐标版本号 最终解决方案 回到继承springboot的项目中属性中添加 如下2.15.0,覆盖springboo父工程依赖管理中的默认版本 <properties> <java.version&
apache log4j2 漏洞
06-28
Apache Log4j2漏洞是一种远程代码执行漏洞,攻击者可以利用该漏洞在受影响的服务器上执行任意代码。攻击者可以通过构造特定的请求,将恶意代码注入到受影响的服务器上,从而实远程代码执行。该漏洞已被广泛利用,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qrainly

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值