Apache Log4j2程代码执行漏洞(CVE-2021-45105/CVE-2021-44228)且 pom.xml文件中是slf4j-log4j12依赖的漏洞修复

已于 2023-07-24 16:39:45 修改
阅读量881 收藏
点赞数
文章标签: apache log4j xml
于 2023-07-24 16:38:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45222548/article/details/131898868
版权
文章介绍了ApacheLog4j的日志框架及其两个高危安全漏洞,CVE-2021-45105和CVE-2021-44228,这些漏洞可能导致远程代码执行。Log4j2作为升级版引入了更多特性,但存在安全隐患。修复方案包括升级到Log4j2的最新版本并更新pom.xml文件中的相关依赖。
摘要由CSDN通过智能技术生成

1.漏洞描述

1.1 Apache Log4j介绍

Apache Log4j是一个基于Java语言开源的日志框架,已于2015年8月5日停止维护。Log4j2是其重构升级版本,引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组件等,并通过定义每一条日志信息的级别,使其能更加细致地控制日志的生成过程。

1.2 CVE-2021-45105漏洞介绍

2021年12月20日,360CERT监测发现Apache官方发布了Apache Log4j的风险通告,漏洞编号为CVE-2021-45105,漏洞等级:高危,漏洞评分:7.5。目前官方已发布安全版本。这是最近在 Log4J 中发现的第三个安全漏洞。
参考https://cert.360.cn/report/detail?id=afe61624e78397657fd332b5dee8fa16

1.3 CVE-2021-44228漏洞介绍

2021.12.09 腾讯安全注意到,一个Apache log42高危漏洞(CVE-221-44228)细节已被公开,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息,大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。
漏洞等级:高危,该漏洞影响范围极广,危害极大。
参考https://s.tencent.com/research/report/144.html

2.漏洞原因

因为Log4停止维护了,所以需要升级到Log4j2的目前推荐版本或者最高版本。

3.漏洞修复

修复前pom.xml文件(文件中相关依赖):

<!-- LOGGING begin -->
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>slf4j-api</artifactId>
      <version>${slf4j.version}</version>
    </dependency>
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>slf4j-log4j12</artifactId>
      <version>${slf4j.version}</version>
    </dependency>
    <!-- common-logging 实际调用slf4j -->
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>jcl-over-slf4j</artifactId>
      <version>${slf4j.version}</version>
    </dependency>
    <!-- java.util.logging 实际调用slf4j -->
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>jul-to-slf4j</artifactId>
      <version>${slf4j.version}</version>
    </dependency>
    <!-- LOGGING end -->

修复后pom.xml文件(需要将上述文件依赖变成):

<!-- LOGGING begin -->
    <!--slf4j的依赖-->
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>slf4j-api</artifactId>
      <version>${slf4j.version}</version>
    </dependency>
    <!--log4j2 的依赖-->
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-api</artifactId>
      <version>${log4j.version}</version>
    </dependency>
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-core</artifactId>
      <version>${log4j.version}</version>
    </dependency>
    <!--用于与sfl4j保持桥接-->
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-slf4j-impl</artifactId>
      <version>${log4j.version}</version>
    </dependency>
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-web</artifactId>
      <version>${log4j.version}</version>
      <scope>runtime</scope>
    </dependency>
    <!--  用来无缝切换Log4j到log4j2的中间层 注意版本号要跟用的log4j2的版本号一致 -->
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-1.2-api</artifactId>
      <version>${log4j.version}</version>
    </dependency>
    <!-- LOGGING end -->
正函数z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Log4j CVE-2021-44228后续-CVE-2021-45046,CVE-2021-45105
oscar999的专栏
12-20 1161
Log4j 发现远代码攻击漏洞CVE-2021-44228 )之后, Apache 随即发布了 2.15.0版本, 但是发布的这个版本在线上下文查找依旧存在远代码攻击漏洞CVE-2021-45046),于是随后又发布了 2.16.0版本; 不幸的是,两天后,Log4j 又被发现了DOS(拒绝服务)的漏洞CVE-2021-45105), 于是又发布了2.17.0 版本, 截止目前位置, Log4j 在Java 8的**安全版本是2.17.0 **。
Apache Log4j2漏洞
Mr.xing的博客
11-13 808
Log4j2是一个Java日志组件,被各类Java框架广泛使用,它的前身是Log4jLog4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jar包log4j-${版本号}.jar。Log4j2分为2个jar包,一个是接口log4j-api-${版本号}.jar,一个是具体实现log4j-core-${版本号}.jar。Log4j2版本号目前均为2.x。Log4j版本号均为1.x。
log4j2漏洞复现
starhei.zxy的博客
07-31 461
Apache Log4j2 中存在 JNDI注入漏洞,当序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词 ${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行。由于 Apache Log4j2 的某些函数具有递归分析函数,因此攻击者可以直接构造恶意请求来触发远代码执行漏洞
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 9553
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Apache Log4j2代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 2094
Apache Log4j2代码执行漏洞< 2.15.0(CVE-2021-44228)
CVE-2021-44228 Apache Log4j2代码执行漏洞复现
热爱学习,喜欢折腾!
09-03 4475
Apache Log4j2Apache 软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远代码执行,且利用条件低,影响范围广。
Apache Log4j代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码来远执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
Log4j2代码执行漏洞复现(cve-2021-44228)
热门推荐
weixin_47179815的博客
07-12 1万+
Log4j2代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4jApache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录序输入输出日志信息。log4j2中存在JNDI注入漏洞,当序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
CMS Made Simple (CMSMS) 前台代码执行漏洞 CVE-2021-26120.md
04-08
CMS Made Simple前台代码执行漏洞 CVE-2021-26120 漏洞背景 CMS Made Simple(CMSMS)是一个免费且开源的内容管理系统(CMS),面向开发人员、序员和网站所有者提供网页开发和管理功能。CMSMS 使用 Smarty 模板...
Apache log4j2漏洞
m0_63645854的博客
06-13 593
本文介绍了log4j2的远代码执行漏洞
Apache Log4j2 漏洞问题
Mr_JK的专栏
12-10 7013
Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过中,并未对输入进行严格的判断,从而造成漏洞的发生。 影响范围:Apache Log4j 2.x <= 2.14.1 综合评估利用难度低,利用要求少,影响范围很大,且已经被黑客公开利用全网扫描,根据部里要求,需要紧急修复修复方案: 1、紧急缓解措施: (1) 修改jvm参数 -
Apache Log4j2(远代码执行漏洞
F2444790591的博客
07-08 7992
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
Apache Log4j2代码执行漏洞CVE-2021-44228
Arlo的博客
12-30 1587
发布日期:2021-12-12 名称:Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228) 级别:严重 描述信息:Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写
Log4j2代码执行漏洞复现
龙卷风摧毁停车场
12-20 3108
Log4j2.14前版本漏洞浮现
log4j2代码执行漏洞CVE-2021-44228
流水不争先,争的是滔滔不绝
05-22 308
log4j2代码执行漏洞
Log4j2代码执行漏洞CVE-2021-44228
wangzhifei1的博客
01-16 2314
CVE-2021-44228,被广泛称为“Log4Shell”,是一个高危的远代码执行漏洞,影响了Apache Log4j 2,这是一个在Java应用序中广泛使用的日志记录库。
Apache Log4j2 漏洞详谈
infosec的博客
12-16 5804
源于Apache Log4j2这个漏洞的描述很多,也有很多的解法。开这个博的目的就是想分析一下漏洞具体是如何被利用的,这个大黑锅下面都有哪些坑。 最近由阿里安全团队爆出来的Apache Log4j2漏洞,可以说是霸占了大部分网安人的朋友圈。同时一张热图也被传来传去,就是下面这个图片。 由于Apache Log4j2组件应用的普及性,导致了大部分的应用都受到波及。同时我们也需要知道并不是所有的log功能都是通过Apache Log4j2来实现的,其实我们还有很多选择。众所周知Log4j2Apache 家的
Apache Log4j2代码执行漏洞(CVE-2021-45105/CVE-2021-44228)、
最新发布
08-22
Apache Log4j2是一个广泛使用的日志框架,用于Java应用序的日志记录。CVE-2021-45105CVE-2021-44228是针对该框架的一个严重安全漏洞,也被称为Log4Shell或Log4J RCE(Remote Code Execution)。这个漏洞源于Log4j库的一个设计缺陷,当处理某些特定类型的外部输入数据时,攻击者可以构造恶意的控制字符序列,使得日志处理器执行任意的Java代码,从而实现了远代码执行。 攻击者可以通过受影响的应用序访问的日志系统接口,将恶意脚本插入到日志消息中。如果应用服务器配置不当,比如默认开启了对用户提交日志的解析功能,就可能导致这种漏洞被利用,攻击者可以窃取敏感信息,甚至完全控制受影响的系统。 修复漏洞通常需要更新到最新的Log4j2版本,并确保适当的安全配置,例如禁用不受信任的特性或者关闭日志处理器的功能。同时,也应该检查并修复所有可能受到漏洞影响的服务和组件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值