“核弹级” Log4j 漏洞仍普遍存在,并造成持续影响

最新推荐文章于 2024-04-16 07:48:07 发布
最新推荐文章于 2024-04-16 07:48:07 发布
阅读量146 收藏
点赞数
文章标签: java 人工智能 大数据 安全 python
原文链接:https://mp.weixin.qq.com/s?__biz=MzU3NDE0NjMwNw==&mid=2247501332&idx=1&sn=a203c0a277683598379f8f9a0736e403&chksm=fd345478ca43dd6ea94df06b70211859138f3c9cdcc6afcdee5926de5bca8580d7028ac8ec9f&scene=126&&sessionid=0
版权

出品:OSCHINA,编辑:白开水不加糖 

来源:https://www.oschina.net/news/203874/log4j-the-pain-just-keeps-going-and-going

Log4j “核弹级” 漏洞 Log4Shell 或许将永远影响世界。

美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 近日发布了针对去年Log4Shell漏洞的调查报告:

https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf

CSRB 是今年 2 月才由 DHS 成立的机构,职责是调查重大网络安全事件,并提供包含提升国家网络安全建议的报告。CSRB 首次调查的事件正是去年 Log4j 爆发的 “核弹级” 漏洞。

417d4edd2ecdf27ed60a66ad1d095f41.png

报告指出,虽然没有迹象表明由于 Log4j 漏洞而发生重大网络攻击,但它仍将 “在未来几年内被利用”。国土安全部副部长 Rob Silvers 也表示:“Log4j 漏洞是历史上最严重的软件漏洞之一。”

CSRB 董事会提到,令人惊讶的是,Log4j 漏洞的利用程度低于专家的预期。他们还说到,目前尚未发现针对关键基础设施系统的重大 Log4j 攻击,但有一些网络攻击没有在报告中提到。

董事会表示,未来出现的攻击很可能在很大程度上是因为 Log4j 经常被嵌入到其他软件,由于间接依赖导致企业很难发现在其系统中运行。他们就减轻 Log4j 漏洞的影响以及总体上提升网络安全提出了一些建议,其中包括建议大学和社区学院将网络安全培训作为计算机科学学位和认证计划的必要部分。

根据 sonatype 的统计数据(https://www.sonatype.com/resources/log4j-vulnerability-resource-center),在 Maven Central 上,每个工作日易受攻击的 Log4j 版本仍然有超过 100,000 次的下载量。

b364d771a4710756a027008225663bbb.png

最后问一句:你们的Log4j漏洞修复了吗?留言区聊聊吧

 
 
【热门内容】
 
 
一个注解搞定 SpringBoot 接口防刷,还有谁不会?
 
 
SpringBoot+Nacos+Kafka简单实现微服务流编排
 
 
新来的CTO规定所有接口都用 post 请求...
 
 
简直无语,又一个知名项目收费了。。已退出!
 
 
这是我见过写得最烂的Controller层代码,没有之一!
 
 
看看人家SpringBoot的全局异常处理多么优雅...
 
 
HTTP 3.0彻底放弃TCP,TCP到底做错了什么?
 
 
Redis 官方可视化工具,高颜值,功能真心强大!
 
 
领导:谁再用Redis过期监听实现关闭订单,立马滚蛋!
 
 
如何搭建一台永久运行的个人服务器?
 
 
300多本程序员经典技术书籍高清PDF
加我微信,备注:资料

扫码备注:资料,自动获
 


                

        

        

        

    




    

      

        

            

              
                
                  码农code之路
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
Apache log4j核弹漏洞,一篇完全理解漏洞原因

				
			

			

				

					Java码农杂谈
				

				

					12-15
					
					4390
					
				

			

		

		

			
				
2021年12月9日,Log4j组件发生了核弹别的安全漏洞。作为Java语言程序最普遍使用的组件之一,该次漏洞影响覆盖面之广堪比核弹爆炸;漏洞影响力的大小,从被大家戏称为Log4Shell就可以看出危害之大!
相信圈内的人基本都听到了该消息,也和我一样想弄清楚漏洞究竟是怎么发生的?漏洞影响范围?能带来什么危害?漏洞的原理是什么?
12月10日,Apache官方也是披露了漏洞的相关详细信息。带着疑问了解了相关信息,分享给大家。
一、漏洞影响范围?
程序中使用了Apache Log4j 2.x <=

			
		

	



                

              
                



	

		

			

				
					
深入分析Log4j 漏洞

				
			

			

				

					嘉禾笔记
				

				

					12-16
					
					1万+
					
				

			

		

		

			
				
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。
Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。
2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.

			
		

	



                


  
              

                


	

		

			

				
					
[ 新出漏洞篇 ] 核弹漏洞 Log4j2 RCE 漏洞爆出,开发圈苦逼,安全圈过年,你赶上了吗 ?(外行都能看懂的漏洞分析)

				
			

			

				

					qq_51577576的博客
				

				

					12-16
					
					4951
					
				

			

		

		

			
				
Log4j2相信大家不陌生了~~~哈哈哈哈。
相信大家已经被 Log4j2 的重大漏洞刷屏了。几乎没有互联网公司幸免。
估计有不少开发的小伙伴在此前为了修 bug 已经累趴下了。
估计也有不少安全圈的大佬靠着这个漏洞买房买车了~~~
你~~~赶上了吗?
每每出现这种重大漏洞,开发岗的大佬们---苦逼,安全岗的大佬们---过年。哈哈哈哈
今天勒,我们就来聊一下 Log4j2 到底是个什么鬼 ?


Log4j远程代码执行漏洞详解

中华人民共和国网络安全法


第二十七条

任何个人和.

			
		

	





	

		

			

				
					
分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2,2024年最新网络安全性能优化最佳实践

					
最新发布

				
			

			

				

					2401_83739777的博客
				

				

					04-16
					
					1140
					
				

			

		

		

			
				
Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;Apache Log4j2是 Log4j的升版本,据分析,该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断,如果内容中包含了${,则Log4j会认为此字符属于可替换的变量,并且Log4j支持JNDI远程加载的方式替换变量值。

			
		

	



		

			
		



	

		

			

				
					
Log4j2 重大漏洞与解决方案

					
热门推荐

				
			

			

				

					小夏陌的博客
				

				

					12-14
					
					7万+
					
				

			

		

		

			
				
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?

			
		

	





	

		

			

				
					
冰河连夜复现了Log4j最新史诗重大漏洞,含视频和完整案例代码,全网最全,赶快收藏吧

				
			

			

				

					冰河的专栏
				

				

					05-30
					
					3888
					
				

			

		

		

			
				
周末与一些小伙伴交流的过程当中,发现一些小伙伴公司的项目中使用的Log4j版本还是2.14.0,我一听就有点震惊了:你们还在使用Log4j的2.14.0版本,这个版本存在重大漏洞啊!但是有些小伙伴看起来对Log4j中存在的重大漏洞不以为意。“我们项目中使用的Log4j一直是2.14.0这个版本啊,一直没啥问题啊!”。哎,看来有些小伙伴对Log4j2.14.0版本存在的漏洞还是不太了解呀,于是我连夜录制了复现Log4j最新重大漏洞的视频,发布到了B站。

			
		

	





	

		

			

				
					
核弹漏洞通告 _ Spring RCE 0day漏洞_0day安全

				
			

			

				

					09-22
				

			

		

		

			
				
继2021年底由阿里发现的Log4j的严重漏洞之后, Spring框架也被发现了一个重大的安全漏洞。目前这个漏洞的名称被称为“SpringShell: Spring Core RCE 0-day Vulnerability”

			
		

	





	

		

			

				
					
2合1 核弹 武器击退力

				
			

			

				

					06-06
				

			

		

		

			
				
这里我们关注的是一个名为"2合1 核弹 武器击退力"的游戏插件,它结合了核弹效果与武器击退力增强功能,为游戏带来更为震撼的战斗体验。  首先,我们要理解“nuke 核弹插件”。在游戏开发中,"nuke"通常指的是核爆或...

			
		

	





	

		

			

				
					
万瑞科技恶搞的核弹发射器Python文件

				
			

			

				

					02-24
				

			

		

		

			
				
【万瑞科技】恶搞的核弹发射器Python文件 本文件运行后会出现一个仿真的核弹发射系统 可以按照系统操作哦! 快拿去整蛊你的好朋友吧! 注:核弹发射密码是143746哦! 编译语言:Python 版本:3.8 编译器:PyCharm、...

			
		

	





	

		

			

				
					
邀请核弹「Invitation Nuke」-crx插件

				
			

			

				

					03-15
				

			

		

		

			
				
自动邀请喜欢帖子的人喜欢你的信息页。只要打开喜欢的列表,并使用下拉邀请... 自动邀请喜欢帖子的人顶您的信息页。 只需打开喜欢列表,然后使用下拉菜单邀请所有人即可。 支持语言:English

			
		

	





	

		

			

				
					
 来翻新一张被核弹炸过的矿卡..

				
			

			

				

					08-31
				

			

		

		

			
				
【Huan】_來翻新一張被核彈炸過的礦卡..

			
		

	





	

		

			

				
					
Log4j漏洞原理及修复

				
			

			

				

					o0way0o的博客
				

				

					01-01
					
					1860
					
				

			

		

		

			
				
*JNDI(Java Naming and Directory Interface–Java)**命名和目录接口 是Java中为命名和目录服务提供接口的API,通过名字可知道,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其中Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中,同时可通过名字获取对象的属性同时操作属性。

			
		

	





	

		

			

				
					
log4j 漏洞CVE-2021-44228 漏洞复现

				
			

			

				

					kyliuw的博客
				

				

					03-08
					
					5998
					
				

			

		

		

			
				
log4j 漏洞CVE-2021-44228 漏洞复现

			
		

	





	

		

			

				
					
网络安全 log4j漏洞复现

				
			

			

				

					jazzz98的博客
				

				

					06-19
					
					3721
					
				

			

		

		

			
				
log4j被爆出“史诗漏洞。其危害非常大,影响非常广。该漏洞非常容易利用,可以执行任意代码。这个漏洞影响可谓是重量的。

			
		

	





	

		

			

				
					
log4j漏洞分析

				
			

			

				

					weixin_47623655的博客
				

				

					04-11
					
					677
					
				

			

		

		

			
				
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。

			
		

	





	

		

			

				
					
Log4j2漏洞

				
			

			

				

					qq_20025777的博客
				

				

					12-10
					
					2万+
					
				

			

		

		

			
				
Log4j2漏洞危害:高危、远程代码执行

			
		

	





	

		

			

				
					
Redis未授权访问漏洞利用总结

				
			

			

				

					Fly_鹏程万里
				

				

					07-06
					
					2万+
					
				

			

		

		

			
				
0x01 redis介绍Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivotal赞助。Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flusha...

			
		

	





	

		

			

				
					
Spring框架及Log4j远程代码执行漏洞影响力分析

				
			

			

				

					weixin_49832675的博客
				

				

					05-19
					
					373
					
				

			

		

		

			
				
Scantist SCA已升数据库并支持对Spring框架及Log4j远程代码执行漏洞利用攻击的监测,同时提供修复方案及建议。

			
		

	





	

		

			

				
					
Apache Log4j 漏洞影响规模

				
			

			

				

					Python数据之道
				

				

					12-25
					
					247
					
				

			

		

		

			
				
出品 | OSC开源社区(ID:oschina2013)来自 Google Open Source Insights Team 的安全研究人员通过调查Maven Central 中所有软...

			
		

	





	

		

			

				
					
 cve-2021-44228

				
			

			

				

					08-06
				

			

		

		

			
				
这个漏洞被认为是“核弹别的漏洞,因为Log4j2作为类似JDK别的基础类库,几乎没有人能够幸免。该漏洞的形成原理是通过Log4j2中的Interpolator类实现了Lookup功能,它在成员变量strLookupMap中保存着各类Lookup...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值