Apache Log4j2远程JNDI代码执行漏洞修复

最新推荐文章于 2024-06-17 17:05:38 发布
最新推荐文章于 2024-06-17 17:05:38 发布
阅读量3.6k 收藏 2
点赞数
分类专栏: JVM 开源软件kettle 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shy_snow/article/details/121944256
版权

#漏洞简介

Apache Log4j2远程代码执行漏洞

当打印的日志含有${字符串时程序会使用lookup解析要打印的字符串,执行任意远程代码,框架没有做相应的过滤导致注入。官网已经在2.16.0(jdk8)和2.12.2(jdk7)修复该问题。

Log4j – Apache Log4j Security Vulnerabilities

2.15.0版本修复CVE-2021-44228漏洞之后,在2.16.0又修复了CVE -CVE-2021-45046.

#影响范围

Apache Log4j 2.x <=2.14.1 (官网2021/12/13最新下载的2.15.0中已经修复该问题

#修复措施

一、jdk8+的升级到官网的log4j 2.16.0版本(Index of /dist/logging/log4j/2.16.0),log4j-core-2.16*.jar中的JndiManager.java中已经增加了校验;

jdk7的需要升级到log4j-2.12.2版本(https://archive.apache.org/dist/logging/log4j/2.12.2/)

可以看到2.12.2和2.16.0中消息lookups功能已经不支持了. 

二、不能升级的可以通过以下措施来缓解该问题(本人观察都是关闭lookups功能的开关):
1.在log4j2.x >=2.10的版本
        创建log4j2.component.properties文件,文件中增加配置 “log4j2.formatMsgNoLookups=true”

        执行下面的命令,设置环境变量LOG4J_FORMAT_MSG_NO_LOOKUPS为true来关闭lookups功能。
 export LOG4J_FORMAT_MSG_NO_LOOKUPS=true
 echo "export LOG4J_FORMAT_MSG_NO_LOOKUPS=true" >> ~/.bash_profile
2.对于从log4j2.7到2.14的版本。
         修改log4j2.xml中所有PatternLayout的pattern中的%m修改为%m{nolookups}

3.对于从2.0-beta9到2.7的版本,唯一的缓解措施是从 log4j-core-*.jar类路径中删除JndiLookup类:
 zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class


 

参考:

官网说明:  Log4j – Apache Log4j Security Vulnerabilities

源码比对:

 Index of /dist/logging/log4j/2.16.0

Index of /dist/logging/log4j/2.15.0

Index of /dist/logging/log4j/2.12.2

shy_snow
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1650
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码
Apache Log4j2 远程代码执行漏洞修复步骤
飞一站的博客
12-10 2947
目录 Apache Log4j2 远程代码执行漏洞修复步骤 漏洞说明 修复步骤 1、下载源码zip包到本地 2、解压到本地 3、用IDEA打开项目 4、执行Maven Deploy,将log4j2修复的版本包安装到Nexus 5、修改项目中的pom.xml 6、测试验证 Apache Log4j2 远程代码执行漏洞修复步骤 漏洞说明 参考链接:Apache Log4j2 远程代码执行漏洞分析 - 安全客,安全资讯平台 Apache Log4j2是一个基于Java的日志记录工具。由于
技术分析:Log4J JNDI 远程执行代码漏洞在云上环境中的独特影响
最新发布
白帽子凯哥哥的博客
06-17 800
攻击EC2实例元数据API并不新颖,云安全研究人员也一直在描述和介绍针对这种服务的滥用行为。这不是一个“新错误”,而是Log4J漏洞对云计算影响的新表述。虽然这篇文章专门针对针对AWS环境的威胁,但所有相同的原则在任何GCP或Azure环境中都适用。
Apache Log4j2 远程代码执行漏洞修复
sgs的博客
12-20 492
ApacheLog4j2 远程代码执行漏洞修复 漏洞描述 使用Apache Log4j2记录日志的时候,会使用这样的格式logger.info("params: {}", params);,进行组装,log4j2底层在进行组装的时候,如果发现传入的 params当中含有${} 字符串的话会进行替换的时候会执行 lookup的操作,所谓的 lookup的操作就是允许通过 JNDI检索变量。 通过 JNDI注入漏洞,黑客可以恶意构造特殊数据请求包,触发此漏洞,从而成功利用此漏洞可以...
漏洞复现】2.Apache Log4j2远程代码执行漏洞(CVE-2021-44228)复现及分析
Zichel77的博客
03-21 1478
Apache 是当今世界上非常流行的跨平台Web服务端,有着良好的扩充性。而Log4j则是Apache的开源组件,用于日志管理,功能强大。Log4j来源于 Apache 软件基金会的日志服务项目,是一种Java日志框架,从最初Log4j1发展到现在的Log4j2,已经广泛应用于各行各业的业务开发。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞
Apache Log4j2远程代码执行漏洞(CVE-2021-44228)漏洞复现
weixin_51804748的博客
03-18 6863
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Apache Log4j2远程代码执行漏洞复现及修复建议
isxiaole的博客
12-13 6602
环境:本实验使用vulfocus提供的Log4j2远程命令执行靶机。 声明:文章所提供的内容和工具仅供于个人学习和研究,严禁传播者利用本文章的相关内容进行非法测试。由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 背景: Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 影响版本: 经验证 2.15.0-rc1 版本存在绕.
Apache Log4j2 远程代码执行 漏洞
马春林的专栏
12-10 3452
log4j安全漏洞
Apache log4j2远程代码执行漏洞
持 开源思想,撰 必胜所学,望 勤学者,无难处
05-21 187
该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。2、若项目使用Maven打包,查看项目pom文件是否存在groupId包含log4j的依赖。1、检查Java应用是否引入log4j-api,log4j-core两个jar。1、官方已于2021年12月10日发布新版本修复漏洞,请尽快升级至安全版本。
Apache Log4j2远程代码执行漏洞
qq_26622469的博客
12-16 2111
漏洞分析 组件介绍 Apache Log4j2 是一款Java日志框架,是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。由于其易用性被广泛集成于各种服务器和组件中。 漏洞描述 2021年12月9日,深信服安全团队监测到一则Apache Log4j2 组件存在远程代码执行漏洞的信息,并成功复现该漏洞漏洞编号:CNVD-2021-95914。漏洞威胁等级:严重。 该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,
【紧急】Apache Log4j2 远程代码执行漏洞
qq_18209847的博客
04-03 4019
0x01 漏洞背景 12月9日,监测到网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。 0x02 风险等级 严重 0x03 影响版本 受影响版本: Apache Log4j 2.x < 2.15.0-rc2 0x04 供应链影响范围: 已知受影
Apache Log4j2远程代码执行漏洞
F2444790591的博客
07-08 7958
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
Apache Log4j2 远程代码执行漏洞
qq_39912230的博客
12-13 3907
· 漏洞描述 Apache Log4j2是一款非常优秀的Java日志框架,在各大Java项目中广泛应用。12月9日,Apache官方发布了紧急安全更新,修复Apache Log4j2中发现的远程代码执行漏洞。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。漏洞风险评级为严重。 ·影响版本 Apache Log4j
灭世之Apache Log4j2 远程代码执行漏洞
tangshuangsss的专栏
12-11 421
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功...
漏洞复现】Apache Log4j2 远程代码执行漏洞
做自己喜欢的事,并将其发挥到极致!
07-20 888
ApacheLog4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。......
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 1842
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
04-15 1143
LDAP 目录服务是由目录数据库和一套访问协议组成的系统,目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,我们可以理解为是一个为可以查询、浏览和搜索而优化的分布式数据库,它呈树状结构组织数据,简单点理解:就是有一个类似于字典的数据源,可以通过LDAP协议,lookup查询传一个name进去,就能获取到数据。RMI是Java中的一种远程方法调用机制,使用RMI,可以在不同的Java虚拟机(JVM)之间进行对象之间的方法调用。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
目标可能存在Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)怎么修复
07-13
对于 Apache Log4j2 远程代码执行漏洞(CVE-2021-44228),修复步骤如下: 1. 首先,确认你的应用程序是否使用了 Apache Log4j2。如果使用了,需要升级到修复漏洞的版本。你可以查看 Apache Log4j2 的官方网站...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值