Log4j2漏洞修复

最新推荐文章于 2024-05-11 10:15:57 发布
最新推荐文章于 2024-05-11 10:15:57 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: JAVA基础 文章标签: web安全 log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/running_pork/article/details/121970381
版权

文章目录

一、漏洞

近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

经有关安全团队验证,漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,建议用户尽快参考缓解方案阻止漏洞攻击。

本次远程代码执行漏洞正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记录到日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码

参考链接:https://github.com/apache/logging-log4j2

二、修复漏洞

2.1 SpringMVC项目修复

普通Spring项目 log4j2 漏洞修复,如下设置:

……
<!--排除非安全log4j包;对应的log4j包修改为2.15.0 -->
<dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-core</artifactId>
   <version>2.15.0</version>
</dependency>
<dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-api</artifactId>
   <version>2.15.0</version>
</dependency>
……

2.2 SpringBoot项目修复

SpringBoot 项目 log4j2 漏洞修复,只需如下设置:

<properties>
    <java.version>1.8</java.version>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

三、如何攻击漏洞

参考:https://blog.csdn.net/qing_gee/article/details/121885927?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link

参考博客:https://blog.csdn.net/gupaoedu_tom/article/details/121891238

http://blog.topsec.com.cn/java-jndi%E6%B3%A8%E5%85%A5%E7%9F%A5%E8%AF%86%E8%AF%A6%E8%A7%A3/

迷路的三刀流
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 在信息技术领域,日志管理是系统维护和故障排查的重要环节。Log4j作为Java平台广泛使用的日志记录框架,其性能高效、功能强大,深受开发者的青睐。然而,随着技术的发展,安全...
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4431
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Log4j2漏洞复现(CVE-2021-44228)
最新发布
qq_40860153的博客
05-11 524
3、解析到ldap,就会去192.168.96.1:1099的ldap服务找名为shell的资源,找到shell之后,就会将资源信息返回给应用程序的log4j组件,而log4j组件就会将资源下载下来,然后发现shell是一个.class文件,就会去执行里面的代码,从而实现注入。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。观察dns网站解析日志结果,刷新,发现解析成功,说明漏洞存在。
Apache log4j2 远程命令执行漏洞复现及修复方案
杨小熊学习笔记
12-14 6420
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
Apache Log4j2.x RCE命令执行漏洞攻击原理及修复措施
wangpf2011的博客
12-23 3871
截止2021.12.20,短短几天Log4j2.x已经连发3个版本,用以修复RCE命令执行漏洞Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。 一、攻击原理 以RMI为例,简单阐述下该漏洞的攻击原理: 1、攻击者首先发布一个RMI服务,此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。 2、攻击者再发布另一个恶意代码下载服务,此服务可以下载所有含有恶意代码的类。 3、攻击者利用Log4j2漏洞注入RMI调用,
Log4j2 漏洞与解决方案】
m0_46459413的博客
12-29 501
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重新编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
log4j2漏洞检测工具
05-07
4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2是Apache基金会...
漏洞复现-log4j2远程代码执行漏洞
qq_43381463的博客
03-09 431
漏洞编号:CVE-2021-44228
skywalking修复log4j漏洞
batman
01-19 2290
背景 漏洞产生的原因,在于 Log4j2 允许 JNDI 任意连接服务器,在 org.apache.logging.log4j.core.lookup.JndiLookup#lookup 中,代码如下: @Override public String lookup(final LogEvent event, final String key) { if (key == null) { return null; } final String jndiName = co.
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Apache log4j漏洞常规修复方法
aischang
01-10 8300
一、升级官方版本(推荐) 目前Apache官方已发布最新版升级包,JAVA7版本升级至log4j 2.12.4版本,JAVA8及以上版本升级至log4j 2.17.0版本,升级包中移除了对lookup功能的支持,默认禁用了JNDI方法,该方法目前已经通过我行测试确认可修复。 二、移除log4j包中JndiLookup类(可能存在未知影响) 移除log4j-core包中JndiLookup类文件,并重启服务,具体方法如下: Linux系统: zip -q -d log4j-core-*.jar ..
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1960
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3285
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
Log4J2漏洞修复方法验证及最终方案
热门推荐
dbzzcz的博客
12-14 2万+
验证代码准备: 在项目登录接口中增加类似如下代码: @PostMapping("login") public R<?> login(@RequestBody LoginBody form) { //form.getUsername()="${java:version}" logger.info("登录:{}",form.getUsername()); // 用户登录 LoginUser userInfo = sysLoginService.login(form.getUsernam
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行
log4j2漏洞修复建议
05-25
log4j2漏洞是一个非常严重的安全问题,已经被广泛关注和报道。如果你使用log4j2作为应用程序的日志框架,以下是一些修复建议: ...总之,修复log4j2漏洞需要多方面的措施,建议及时采取措施保护你的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值