又又又来了 Apache Log4j 被曝本月第 4 个漏洞

最新推荐文章于 2023-11-04 16:09:52 发布
最新推荐文章于 2023-11-04 16:09:52 发布
阅读量161 收藏
点赞数
分类专栏: 程序员人生 文章标签: apache 安全 web安全
原文链接:https://segmentfault.com/a/1190000041205599
版权

继本月上旬 Apache Log4j2 中的远程代码执行漏洞被首次曝光后,后续又有多个漏洞相继曝光,并在全球范围内造成了影响。

近日,Apache Log4j 日志库中又有另一个严重的远程代码执行漏洞被曝,被跟踪为 CVE-2021-44832,此漏洞由 Hideki Okamoto、Lederfein 以及另一位匿名漏洞研究人员独立发现。

CVE-2021-44832 是 Log4j 库中的第三个 RCE 和第四个漏洞,此外分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。

据介绍,CVE-2021-44832 表现为,Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击,其中有权限修改日志配置文件的攻击者可以构建恶意配置,从而将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 Java 协议来解决。

值得注意的是,Log4j 1.x 不受此漏洞影响。受影响的用户可升级到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1(适用于 Java 8 及更高版本),以缓解该漏洞带来的影响。

据官方提示,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

另请注意,Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。

文章系转载:https://segmentfault.com/a/1190000041205599

51aspx.com定期发送行业相关文章。

51Aspx源码服务专家
关注
专栏目录
log4j漏洞原理及攻击流程
weixin_54603520的博客
05-14 2417
log4j漏洞最早出现在2021年11月24日一位阿里安全团队的员工发现的,上报到Apache之后,12月10日凌晨才被公开。该漏洞威胁等级较高。基本比肩与阿里当年的fastjson漏洞
这家公司因Log4j漏洞惨遭黑客攻击并勒索500万美元
weixin_64917227的博客
12-30 2万+
本月9号Apache Log4j2 漏洞光引发轩然大波以来,网络安全研究人员不是在修Bug的路上,就是在发补丁的途中。Log4j也成了本月讨论度最高的热词之一。 最近,越南最大的加密交易平台之一 —— ONUS,因其支付系统运行的Log4j版本存在漏洞而遭到黑客攻击。很快,黑客找到ONUS,向其勒索500万美元,并威胁说如果ONUS拒绝支付,他们就在网上公布ONUS的客户数据。ONUS拒绝了这个勒索,于是黑客就在论坛上公开销售了近200万ONUS客户的数据。 支付软件运行的Log4j版本存在漏洞
团灭!Log4j 1.x 也爆雷了。。。速速弃用!!
Java技术栈,分享最主流的Java技术
12-29 682
点击关注公众号,Java干货及时送达最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新漏洞动态:Log4j 2.3.1 发布!又...
log4jdbc mysql jdbc_用log4jdbc发现性能问题
weixin_33976326的博客
01-19 155
在sqltiming的log中看到有多处select xxx from xxx where xxx=xxx;的语句, 怀疑此处的逻辑有问题, 找到相应的code, 发现其原因为开发忘记加用户是否已登陆的逻辑//格式为:响应时间 请求时刻 sql3 2013-03-21 13:18:52.790 SELECT COUNT(1) FROM GuideGrade ...
高危漏洞 log4j漏洞,产生原因和解决方案
热门推荐
qq_54088719的博客
12-12 3万+
2021年12月09日,360CERT监测发现Apache Log4j 2存在JNDI远程代码执行,漏洞等级:**严重**,漏洞评分:**9.8**。
JDBC漏洞利用总结
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-23 2324
文章目录环境搭建JDBC任意文件下载JDBC反序列化漏洞JDBC命令执行 写点关于jdbc漏洞的利用方法 环境搭建 maven依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.2.1</version> </dependenc
2022年信息安全漏洞通报1月.pdf
05-11
Apache log4j漏洞是一个严重的问题,影响Apache Log4j 1.x和Apache Chainsaw 2.1.0及更早版本。这个漏洞允许攻击者在目标系统上执行任意代码,从而可能导致严重的安全风险。为缓解这个问题,Apache官方已经发布了新...
Java学习(上)
Lzdnydppx的博客
08-09 665
Java简介、Java程序基础、流程控制、数组操作、面向对象基础、Java核心类、异常处理、反射、注解、泛型、集合、IO、日期与时间、单元测试
运维知识点-MySQL从小白到入土
最新发布
aming小老弟
11-04 642
获取表rider_users中字段id的备注信息:sql。
常用面试题
qq_40256408的博客
05-06 575
面试题: HashMap底层实现原理,红黑树,B+树,B树的结构原理,volatile关键字,CAS(比较与交换)实现原理 Spring的AOP和IOC是什么?使用场景有哪些?Spring事务,事务的属性,传播行为,数据库隔离级别 Spring和SpringMVC,MyBatis以及SpringBoot的注解分别有哪些?SpringMVC的工作原理,SpringBoot框架的优点,MyBatis框...
JDBC的SQL注入漏洞分析和解决
weixin_33924312的博客
03-12 104
1.1.1 SQL注入漏洞分析1.1.2 SQL注入漏洞解决需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。 public class UserDao { public boolean login(String usern...
如何确定Apache Log4漏洞是否存在
weixin_43837051的博客
12-10 2612
备注: Weblogic不涉及此次漏洞weblogic是使用jdklog 本次ApacheLog4漏洞涉及的程序范围主要是java的项目涉及。 影响范围确认: 1、确认是否使用apache支持的java项目,如Apache的Struts2、Filnk、Solr、Druid等 2、影响范围是log4j的2.x-2.14.1 该漏洞的处理方式是将现有版本进行升级。 ...
Apache Log4j 远程代码注入漏洞
tanjunchen的博客
12-11 5647
漏洞说明 2021年12月9日,Apache Log4j2 Java 日志模块存在远程命令执行漏洞可直接控制目标服务器问题,攻击者攻击难度极低。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。该漏洞可通过 critical、error、warining、notice、info、debug等日志级别触发,只需部分日志内容可控,此漏洞波及大量开源组件,包括 ELK、 Apache 、Struts2、Apache Solr、Apache Druid、A
Apache日志记录组件Log4j出现反序列化漏洞 黑客可以执行任意代码 所有2.x版本均受影响...
weixin_33966365的博客
09-01 1万+
开源的东西用的人多了,自然漏洞就多。Apache用于日志记录的组件Log4j使用非常灵活,在相当多的开源项目中都有使用,此次漏洞影响所有Apache Log4j 2.*系列版本Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1,使用Java 7+的用户应立即升级至2.8.2版本。绿盟科技发布安全威胁通告,通告全文...
linux log4cplus 使用,ubuntu10.10下log4cplus使用报错
weixin_33302571的博客
05-15 422
用g++log_helloworld.cpp报错如下:源码来自官方:#include#include#includeusingnamespacelog4cplus;intmain(){BasicConfiguratorconfig;config.configure();Loggerlogger=Logger::getInstance("main");LOG4CPLUS_WARN(...
GhostScript 沙箱绕过(命令执行)漏洞(CVE-2018-16509)
黑白的博客
12-22 1285
声明 好好学习,天天向上 漏洞描述 8 月 21 号,Tavis Ormandy 通过公开邮件列表,再次指出 GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取、文件删除等漏洞 GhostScript 被许多图片处理库所使用,如 ImageMagick、Python PIL 等,默认情况下这些库会根据图片的内容将其分发给不同的处理方法,其中就包括 GhostScript。 影响范围 Ghostscript 9.24之前版本 复现过程 这里使用7.0.8版本 使
紧急!Log4j 史诗级漏洞来袭,已引起大规模入侵,速速自查!
程序猿DD
12-10 722
1、漏洞简介Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apac...
Apache log4j漏洞常规修复方法
aischang
01-10 8386
一、升级官方版本(推荐) 目前Apache官方已发布最新版升级包,JAVA7版本升级至log4j 2.12.4版本,JAVA8及以上版本升级至log4j 2.17.0版本,升级包中移除了对lookup功能的支持,默认禁用了JNDI方法,该方法目前已经通过我行测试确认可修复。 二、移除log4j包中JndiLookup类(可能存在未知影响) 移除log4j-core包中JndiLookup类文件,并重启服务,具体方法如下: Linux系统: zip -q -d log4j-core-*.jar ..
log4jdbc使用介绍
u013409283的博客
01-31 1万+
0 前言 使用java进行数据库操作时最痛苦的莫过于拼接SQL语句。在实际运行时往往需要查看实际生成的SQL语句和实际传入的参数,或许还会有查看SQL执行时间等的需求。   无论原生JDBC、dbutils、mybatis还是hibernate,使用log4j等日志框架可以看到生成的SQL,但是占位符和参数总是分开打印的。实在是不太友好。显示如下的效果: select * from
Apache Log4j详解:Pro Apache Log4j Second Edition精华
《Pro Apache Log4j Second Edition》这本书深入探讨了Apache Log4j,这是一个广泛使用的Java日志框架,它允许应用程序以灵活、可配置的方式记录信息。Log4j的核心功能包括定义不同级别的日志事件(如DEBUG、INFO、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值