Log4j2漏洞 CVE-2021-45046详情

最新推荐文章于 2024-03-20 14:22:09 发布
最新推荐文章于 2024-03-20 14:22:09 发布
阅读量2.5k 收藏
点赞数
分类专栏: 笔记 文章标签: 安全 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41413137/article/details/121969967
版权
当前描述

发现 Apache Log4j 2.15.0 中针对 CVE-2021-44228 的修复在某些非默认配置中不完整。当日志配置使用带有上下文查找(例如,$${ctx:loginId})或线程上下文映射模式( %X、%mdc 或 %MDC)使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。默认情况下,Log4j 2.15.0 尽最大努力将 JNDI LDAP 查找限制为 localhost。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来修复此问题。

分析说明

发现 Apache Log4j 2.15.0 中针对 CVE-2021-44228 的修复在某些非默认配置中不完整。当日志配置使用非默认模式布局和上下文查找(例如,$${ctx:loginId})或线程上下文映射模式( %X、%mdc 或 %MDC)使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。默认情况下,Log4j 2.15.0 将 JNDI LDAP 查找限制为 localhost。请注意,先前涉及配置的缓解措施(例如将系统属性“log4j2.noFormatMsgLookup”设置为“true”)并不能缓解此特定漏洞。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来修复此问题。

无名·
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录注入恶意代码来远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4087
spring-boot-starter-log4j2漏洞修复方式
Log4j2漏洞
热门推荐
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
Log4j漏洞CVE-2021-45046CVE-2021-45105、CVE-2021-4104修复
weixin_44455388的博客
12-22 2049
1、漏洞范围 远程代码执行漏洞CVE-2021-45046log4j 2.0-2.15.0版本 拒绝服务漏洞CVE-2021-45105:log4j 2.0-2.16.0版本 远程代码执行漏洞CVE-2021-4104:log4 1.x版本 2、漏洞解决: 针对CVE-2021-45046CVE-2021-45105,需要升级到2.17.0版本进行修复。 针对CVE-2021-4104需要从类路径移除JMSAppender类,可利用如下命令进行删除:zip -q -d log4j-*.jar or
Log4j2 远程代码执行漏洞复现
龙卷风摧毁停车场
12-20 3099
Log4j2.14前版本,漏洞浮现
Log4j2 CVE-2021-45046 鸡肋RCE漏洞复现与浅析
mole_exp的博客
12-21 4167
文章目录0x00 前言 0x00 前言 自从上上周四(12月9日晚)Log4Shell(CVE-2021-44228漏洞被披露后引发了安全圈地震,笔者就立刻对该漏洞进行复现和分析,并持续跟踪这个漏洞后续的资讯动态。
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 可用的许多改进,同时修复了 Logback 架构的一些固有问题。修复安全漏洞 CVE-...
log4j-core-2.15.0-rc2.jar
12-10
Apache Log4j2 远程代码执行漏洞CVE-2021-44228修复版本2.0.15-rc2(jar包名称仍为2.15.0,源码编译出来的)
漏洞修复Apache Log4j 远程代码执行漏洞(CVE-2021-44228CVE-2021-45046)
m0_52985087的博客
01-23 1024
本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统,修复Log4漏洞
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
weixin_44047654的博客
12-13 1702
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
Vector关于Apache Log4Shell CVE-2021-45105,CVE-2021-45046CVE-2021-44228安全漏洞配合与修复全面详解
Polelink北汇信息的博客
12-30 3263
Apache Log4j2 是一个基于 Java 的日志记录开源组件。近日,Log4j2 被爆出现安全漏洞,攻击者可以通过向易受攻击的服务器或应用程序发送操纵请求来利用安全漏洞。Vector 德国PREEvison产品团队已经通过官网和客户管理系统及时通知客户,有关PREEvision使用的软件组件的严重安全漏洞“Log4Shell”CVE-2021-44228,说明如下:
VMware 多个产品LOG4J2远程代码执行漏洞-(CVE-2021-44228/CVE-2021-45046)
tamchikit的博客
01-04 1134
VMware 多个产品LOG4J2远程代码执行漏洞-(CVE-2021-44228/CVE-2021-45046)
Log4j22.15.0版漏洞CVE-2021-45046)的注入原理、复现步骤和如何修复(2.16.0修复原理)
跳小闹成长记
12-20 6686
Log4j2发布2.15.0版修复Log4j2基于Ldap的注入漏洞之后。2.15.0的版本很快就被爆出了新的注入漏洞。但是这次漏洞爆出之后,大家却不怎么着急升级,到底是为什么呢?这就需要从该漏洞的原理以及影响说起了。接下来我们就一起来探索下该漏洞的原理、复现步骤、影响范围,以及官方在2.16.0版本中是如何修复的。
log4j2远程代码执行漏洞原理与漏洞复现
最新发布
人若无名,便可专心练剑
03-20 1762
在看我写的log4j2远程代码执行漏洞之前,师傅们可以看看我前面写的《JNDI注入原理及利用IDEA漏洞复现》这篇文章,因为log4j2远程代码执行漏洞里面有讲JNDI注入,这样可以对师傅的理解更加深刻也更加容易理解!
CVE-2021-45046 详细信息
qq_34493854的博客
12-16 3232
当前描述 发现 Apache Log4j 2.15.0 针对 CVE-2021-44228修复在某些默认配置不完整。当日志配置使用带有上下文查找(例如,$${ctx:loginId})或线程上下文映射模式( %X、%mdc 或 %MDC)使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。默认情况下,Log4j 2.15.0 尽最大努力将 JNDI LDAP 查找限制为 localhost。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能
Apache Log4j 远程代码执行漏洞(CVE-2021-44228CVE-2021-45046)
小小关的博客
05-19 910
1.Java 6 将 log4j 升级到 2.3.1 版本,Java 7 将 log4j 升级到 2.12.3 版本,Java 8 或更高版本将 log4j 升级到 2.17.0 版本,下载地址:https://logging.apache.org/log4j/2.x/download.html 2.若暂时无法升级,删除jar包漏洞相关的JndiLookup.class文件: zip -q -d log4j-core-xxx.jar org/apache/logging/log4j/core/looku.
Log4j CVE-2021-44228后续-CVE-2021-45046CVE-2021-45105
oscar999的专栏
12-20 1133
Log4j 发现远程代码攻击漏洞CVE-2021-44228 )之后, Apache 随即发布了 2.15.0版本, 但是发布的这个版本在线程上下文查找依旧存在远程代码攻击漏洞CVE-2021-45046),于是随后又发布了 2.16.0版本; 不幸的是,两天后,Log4j 又被发现了DOS(拒绝服务)的漏洞CVE-2021-45105), 于是又发布了2.17.0 版本, 截止目前位置, Log4jJava 8的**安全版本是2.17.0 **。
apache log4j CVE-2021-44228漏洞怎么解决
06-03
漏洞描述: Apache Log4j 2.x存在一种命令注入漏洞,攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升级到最新版本 Apache Log4j 2.x发布了修复漏洞的版本2.17.0,建议用户尽快升级到该版本。 2.使用安全策略文件 在升级之前,可以通过使用安全策略文件来限制日志信息使用的类和方法,以减少攻击面。可以使用以下命令生成策略文件: ``` java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将策略文件放置在类路径下,例如在Tomcat,可以将其放置在`$CATALINA_BASE/conf`目录下。 3.禁用Log4j JNDI Lookup功能 如果无法立即升级,可以通过在JVM参数添加以下选项来禁用Log4j JNDI Lookup功能: ``` -Dlog4j2.formatMsgNoLookups=true ``` 或者在log4j2.xml配置文件添加以下选项: ``` <Configuration> <properties> <property name="log4j2.formatMsgNoLookups">true</property> </properties> ... </Configuration> ``` 以上是针对Apache Log4j 2.x的解决办法,如果您使用的是其他版本的Log4j,请查看厂商的官方文档或者联系技术支持获取解决办法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值