log4j2漏洞原理及修复方案

最新推荐文章于 2024-06-18 16:45:09 发布
最新推荐文章于 2024-06-18 16:45:09 发布
阅读量8.3k 收藏 8
点赞数
分类专栏: JAVA源码 文章标签: 安全 web安全 网络 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41701609/article/details/121916781
版权

近期披露的Apache Log4j2 远程代码执行漏洞,漏洞利用方法已在网上公开,该漏洞影响范围极广。

主要原理是利用log4j2的日志输出jndi远程对象时,调用远程对象没做检查导致。

 当用户浏览器注入变量 

后台应用程序对变量做了日志输出就会发生远程对象的调用,远程对象又没有经过检查,直接在我们的应用程序中运行。

 防护方法

1、目前官方已发布Apache Log4j 2.15.1-rc2(测试版)及Apache Log4j 2.15.0(稳定版)修复该漏洞,建议受影响用户可将Apache Log4j所有相关应用到以上版本,下载链接:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.1-rc2或https://logging.apache.org/log4j/2.x/download.html

官方版本修复的原理是添加可访问jndi服务器地址列表,控制jndi的访问。

2 临时防护措施
若相关用户暂时无法进行升级操作,可先用下列措施进行临时缓解:
1、添加jvm参数启动:-Dlog4j2.formatMsgNoLookups=true
2、在应用的classpath下添加log4j2.component.properties配置文件,文件内容为:log4j2.formatMsgNoLookups=true
请各组安排人员对受影响的系统进行评估并及时修复该漏洞。如果不能升级Apache Log4j2,可采用临时防护措施缓解此漏洞带来的影响。请各组及时反馈漏洞修复结果。

3、设置系统环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS=true
注:当且仅当Apache Log4j >= 2.10版本时,可使用1、2、3的任一措施进行防护。
4、使用下列命令,移除log4j-core包中的JndiLookup 类文件:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
5、采用人工方式禁用JNDI,例:在spring.properties里添加spring.jndi.ignore=true
6、建议使用JDK在11.0.1、8u191、7u201、6u211及以上的高版本,可在一定程度防止RCE。
7、限制受影响应用对外访问互联网,并在边界对dnslog相关域名访问进行检测。
 

weixin_41701609
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Log4j2 漏洞复现及解决方案
已识乾坤大,犹怜草木青!
12-15 2729
背景 最近爆出的 apache log4j2 存在重大安全漏洞问题,当 log4j2 版本在 2.15.0 以前(2.0<=V<=2.14.1),相关应用程序或中间件如 ES、Redis 等均会受此漏洞影响。不过目前 apache 官方已经修复了此漏洞漏洞复现程序 Log4j2 lookup 漏洞复现程序 修复指南 推荐修复指南1:升级 log4j2 接口及实现版本至最新版(2.15.0) <dependencies> <!-- l...
Log4j 漏洞修复和临时补救方法
12-14 3760
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
一文读懂面试官都在问的Log4J2漏洞
YangYubo091699的博客
04-11 5446
​ Apache log4j2-RCE 漏洞是由于Log4j2提供的lookup功能下的JndiLookup模块出现问题所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的信息进行判断,导致Log4j2请求远程主机上的含有恶意代码的资源 并执行其中的代码,从而造成远程代码执行漏洞。​
Log4j2注入漏洞万字剖析-汇总收藏版(攻击步骤、漏洞原理、2.15.0-RC1绕过原理以及2.15.0、2.16.0修复原理)
跳小闹成长记
12-16 1万+
本文将和大家一起对Log4j2漏洞进行全面深入的剖析。我们将从如下基本方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞Java高低版本中的不同攻击原理 3、Log4j2漏洞Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
Log4j2 远程代码执行漏洞(CVE-2021-44228)
最新发布
qq_68163788的博客
06-18 1229
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228是Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
log4j2漏洞原理漏洞环境搭建复现
dreamthe的博客
03-03 1万+
背景 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。 log4j3远程代码执行漏洞主要由于存在JN
Log4J2漏洞(CVE-2021-44228)原理
m0_62466350的博客
05-07 2682
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发 者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏 洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶 意请求,触发远程代码执行漏洞,从而获得目标服务器权限。漏洞适应版本:2.0
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(二)—漏洞原理
跳小闹成长记
12-14 1万+
本文将和大家一起对Log4j2漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞Java高低版本中的不同攻击原理 3、Log4j2漏洞Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
log4j.1.2.17
02-22
总结来说,Log4j 1.2.17作为一个成熟的日志框架,提供了一套完整的日志解决方案。正确理解和使用Log4j,不仅能够提升开发效率,还能确保系统的可维护性和稳定性。对于初学者而言,掌握其基本原理和配置技巧,是成为...
logging-log4j2-rel-2.17.0.zip
12-20
这个压缩包包含的是Log4j的源码,版本号为2.17.0,是Log4j 2系列的一个更新版本,主要目的是修复安全漏洞和其他性能改进。 在Log4j 2.x中,重点优化了日志性能和可扩展性。以下是关于Log4j 2.17.0的一些关键知识点...
log4j的所有jar包
05-28
10. **安全性**:Log4j 2.11.0版本可能包含了针对当时已知的安全漏洞修复,因此保持日志库的更新是确保应用安全的重要步骤。 通过这个压缩包,开发者可以获取到Log4j 2.11.0版本的全部二进制文件,方便在项目中...
log4j-1.2.15.jar
11-18
尽管现代有更多先进的日志解决方案,但理解Log4j的工作原理对于任何Java开发者来说都是必要的,因为它不仅是一个工具,更是理解日志管理理念的窗口。在学习和使用过程中,不断探索和实践,才能更好地驾驭这个强大的...
42个修复程序
02-19
"42个修复程序"这个标题可能是指一个项目或者一系列教程,包含了42个不同的修复方案,针对各种Java编程中的常见问题。Java是一种广泛使用的面向对象的编程语言,其应用范围涵盖了从桌面应用到大型分布式系统的开发。...
Log4j2漏洞详解(自学)
m0_64481831的博客
03-05 1752
Log4j2是Apache下的流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标,被应用于业务系统开发,用于记录程序输入输出日志信息。Log4j2是Apache的日志框架,用来记录和管理日志信息的。Log4j2漏洞原理是因为默认支持解析LDAP/RMI协议,且使用了占位符如{},并会解析里面的内容进行替换,所以攻击者就可以利用这一点构建特殊的恶意的占位符来进行攻击。
log4j2远程代码执行漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
Log4j2漏洞(一)原理和dnslog验证
02-06 1766
Log4j2漏洞(一)介绍漏洞前景、漏洞原理、确定注入点和dnslog验证
Apache Log4j2 漏洞原理
m0_49025459的博客
06-26 1979
Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响。
Log4j2的JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2648
前言 最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4j,Log4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组
log4j2远程执行漏洞原理以及解决方案
猿码优创
12-15 1万+
最新最全的Log4j2漏洞原理和最新解决方案 2021年12月9日,国内多家机构监测到Apache Log4j2存在任意代码执行漏洞,并紧急通报相关情况。由于Apache Log4j存在递归解析功能,未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。鉴于Apache Log4j本身涉及多种应用组件,猿码优创讲漏洞威胁等级:严重。 目前经过不懈努力,猿码优创已经给复现了。 产生原因:存在JNDI注入漏洞,..
log4j2漏洞原理
07-28
log4j2漏洞是指Apache Log4j2框架中存在的一个安全漏洞,该漏洞被称为"Log4Shell"或"CVE-2021-44228"。该漏洞原理是由于log4j2框架在处理日志消息时,会自动解析并执行包含特定JNDI注入代码的日志消息。这意味着攻击者可以通过构造恶意的日志消息,利用JNDI注入来执行任意的远程命令。具体来说,攻击者可以在日志消息中使用JNDI注入表达式,通过远程JNDI服务器加载恶意的类或执行任意的命令。 这个漏洞的危害非常严重,攻击者可以通过发送恶意的日志消息来远程执行任意代码,可能导致服务器被完全控制,数据泄露,或者其他恶意行为。该漏洞已经被广泛利用,并且已经影响了许多应用程序和系统。 需要注意的是,log4j2漏洞只存在于使用了受影响版本的log4j2框架的应用程序中。为了解决这个漏洞,建议开发人员升级到log4j2安全版本,并采取其他安全措施,如配置安全策略、限制日志消息的内容等,以减少潜在的风险。 #### 引用[.reference_title] - *1* *3* [log4j2漏洞原理漏洞环境搭建复现](https://blog.csdn.net/dreamthe/article/details/123230283)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [一文读懂面试官都在问的Log4J2漏洞](https://blog.csdn.net/YangYubo091699/article/details/130087573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值