漏洞简介
Apache Log4j2是一款Java日志框架,是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。
目前受影响的Apache Log4j2版本:
2.0 ≤ Apache Log4j <= 2.14.1
漏洞复现
在下载镜像复现之前确保,虚拟机非处于挂起状态!
在下载镜像复现之前确保,虚拟机非处于挂起状态!
在下载镜像复现之前确保,虚拟机非处于挂起状态!
感谢风炫大佬耐心解答
┌──(root💀guiltyfet)-[/home/guiltyfet]
└─# docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln
Using default tag: latest
latest: Pulling from fengxuan/log4j_vuln
Digest: sha256:d929cad