Apache Log4j2远程代码执行漏洞处理

最新推荐文章于 2024-08-20 11:09:36 发布
最新推荐文章于 2024-08-20 11:09:36 发布
阅读量4.4k 收藏 6
点赞数 3
分类专栏: 安全相关 文章标签: apache 安全 web安全 log4j2 漏洞修复
文章仅用于技术分享,未经本人同意,禁止转载,且不得应用于商业模式
本文链接:https://blog.csdn.net/ximenjianxue/article/details/121889774
版权
本文详细介绍了Apache Log4j2的严重远程代码执行漏洞(CVE-2021-44228),该漏洞允许攻击者通过控制日志消息触发任意代码执行。受影响的版本为2.14.1及之前。阿里云安全团队建议用户升级到2.15.0-rc2以修复问题,或采取临时解决方案,包括禁用JNDI查找和使用特定JVM参数。此外,文章还提供了漏洞利用示例和修复后的行为对比。
摘要由CSDN通过智能技术生成

一、背景

2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。Apache Log4j2是一款优秀的Java日志框架。
在这里插入图片描述
Apache Log4j2.14.1之前版本中的配置、日志消息和参数中使用的 JNDI 功能不能防止攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时,可以控制日志消息或日志消息参数的攻击者可以执行从 LDAP 服务器加载的任意代码。从 log4j 2.15.0 开始,默认情况下已禁用此行为。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

【漏洞评级】:严重

【漏洞编号】:CVE-2021-44228

【受影响的版本】:ApacheLog4j 2.x <= 2.14.1
在这里插入图片描述
更多详情参见:

https://issues.apache.org/jira/browse/LOG4J2-3201
https://issues.apache.org/jira/browse/LOG4J2-3198
https://logging.apache.org/

二、漏洞原理及复现

网络示例:比如log4j在以下项目中的调用:这里使用log4j2.12版本
在这里插入图片描述
配置文件如下所示:
在这里插入图片描述
测试程序如下:执行后打印用户名到日志
在这里插入图片描述
当修改程序变量,使打印到日志里的变量为:$参数,这种
在这里插入图片描述
如上所述,调用log4j打印参数时会执行:$后的参数,如上所述,代码执行后打印出了系统的信息到日志中了。
在这里插入图片描述
引入一个攻击类模拟注入:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
类的内容:执行该类会打开notepad,即打开一个文本编辑器对话框
在这里插入图片描述
执行代码后,我们会发现上述代码被执行,预期弹出Notepad文本编辑器:
在这里插入图片描述
在这里插入图片描述

试想以下,如果时删除,或其他恶意破坏的代码回事什么后果;该漏洞就是利用可以执行JNDI协议方法调用,完成恶意注入。我们修改第一步的代码使用官方推荐的2.15版本:
在这里插入图片描述
再次执行代码:发现$参数不在被执行,而是以字符串的形式正常输出了
在这里插入图片描述
总结:上述整个案例过程如下:
在这里插入图片描述
原先漏洞,调用log4j时,就会找JNDI,执行引起的代码,执行完成传给浏览器用户侧。修复后,执行调用JNDI协议这种行为默认不再可用,从而避免相关注入执行。

三、处理

2.1、软件升级

强烈建议用户升级到log4j-2.15.0-rc2。

已发现官方修复代码,参考:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

软件下载:

wget -O https://www.apache.org/dyn/closer.lua/logging/log4j/2.15.0/apache-log4j-2.15.0-bin.tar.gz

2.2、临时方案

版本 >=2.10 缓解方案:

1.建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本;
2.添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true;
3.添加log4j2.component.properties配置文件,增加如下内容为:log4j2.formatMsgNoLookups=true;
4.系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true;
5.禁止安装log4j的服务器访问外网,并在边界对dnslog相关域名访问进行检测。

2.0-beta9 到 2.10.0 的版本,缓解措施是:

从类路径中删除 JndiLookup 类: zip -q -d log4j-core-*.jar /org/apache/logging/log4j/core/lookup/JndiLookup.class

四、相关参考

Log4j入门使用教程 http://www.linuxidc.com/Linux/2013-06/85223.htm

Hibernate配置Log4j显示SQL参数 http://www.linuxidc.com/Linux/2013-03/81870.htm

Log4j学习笔记(1)_Log4j 基础&配置项解析 http://www.linuxidc.com/Linux/2013-03/80586.htm

Log4j学习笔记(2)_Log4j配置示例&Spring集成Log4j http://www.linuxidc.com/Linux/2013-03/80587.htm

羌俊恩
关注
专栏目录
漏洞处置方案】Apache Log4j2远程代码执行漏洞&对外技术支持服务
weixin_40418457的博客
12-10 3593
昨日,Apache Log4j2 成为知名漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。火线安全为防止其继续扩大影响范围,特发布针对该漏洞的处置方案。 漏洞描述 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限
Apache Log4j2 远程代码执行漏洞
qq_39912230的博客
12-13 3937
· 漏洞描述 Apache Log4j2是一款非常优秀的Java日志框架,在各大Java项目中广泛应用。12月9日,Apache官方发布了紧急安全更新,修复Apache Log4j2中发现的远程代码执行漏洞。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。漏洞风险评级为严重。 ·影响版本 Apache Log4j
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 2286
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
log4j2远程代码执行getshell(漏洞复现)
最新发布
weixin_63920195的博客
08-20 546
192.168.15.166使用docker搭建漏洞复现环境192.168.15.129作为接收shell的主机。
Apache Log4j2 远程代码执行漏洞 学习
YouthBelief的博客
12-12 3523
Apache Log4j0x00 前言0x01 漏洞描述0x02 影响范围0x03 环境搭建0x04 漏洞复现0x05 修复方法0x06 总结 所有文章,仅供安全研究与学习之用,后果自负! 0x00 前言 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 0x01 漏洞描述 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配
ORM Bee是否需要为Log4j2远程代码执行漏洞作相应更新
abckingaa的博客
12-15 360
ORM框架Bee, 是否要更新相应框架的版本呢? 首先,Bee是一个不依赖于第三方框架的工具(也不依赖于某个日志框架)。若你的应用,有用到Log4j2, 只需要对其版本作相应的更新。 现在Log4j2 的版本,最新已更新到2.16.0 Bee,互联网新时代的JavaORM框架,更快、更简单、更自动,开发速度快,运行快,更智能! 性能好:接近JDBC的速度;文件小,仅310k。 漏洞相应信息: Apache Log4j2是一款Java日志框架,大量应用于业务系统开发。 在...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
2301_76225520的博客
04-18 1073
以及 LDAP即轻量级目录访问协议都是名称服务,不同的是 LDAP是一个协议,是和 HTTP 一样是通用的,而不止局限于 JAVA.比如用户对象可以有用户名、密码、邮件地址、角色等属性,计算机对象可以有IP地址、MAC地址、操作系统版本等属性。四个系列:< v1.14.2, < v1.13.5, < v1.12.7, < v1.11.6。而用户可以通过目录服务,针对打印机需求,根据分辨率等属性进行搜索获取符合条件的打印机对象。在名称服务中根据打印机名称获取打印机对象,并进行打印操作。
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1717
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码
Apache Log4j2远程代码执行漏洞
qq_26622469的博客
12-16 2131
漏洞分析 组件介绍 Apache Log4j2 是一款Java日志框架,是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。由于其易用性被广泛集成于各种服务器和组件中。 漏洞描述 2021年12月9日,深信服安全团队监测到一则Apache Log4j2 组件存在远程代码执行漏洞的信息,并成功复现该漏洞漏洞编号:CNVD-2021-95914。漏洞威胁等级:严重。 该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,
Apache Log4j2远程代码执行漏洞
F2444790591的博客
07-08 8018
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
Log4j2 远程代码执行漏洞(CVE-2021-44228)
qq_68163788的博客
06-18 1337
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228是Log4j2存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
日志框架Log4j
qq_21344887的博客
09-06 213
日志
Log4j2远程代码执行漏洞
2301_82000839的博客
07-08 1000
log4j2漏洞是java应用常见开源日志库,是一个就Java的日志记录工具Apache Log4j2存在JNDI注入漏洞,主要原理是利用log4j2的日志输出JNDI远程对象时,调用远程对象没做检查导致,程序将用户输入的数据进行日志记录时即可触发该漏洞并可在目标服务器上执行任意代码。该漏洞利用过程需要找到一个能触发远程加载并应用配置的输入点,迫使服务器远程加载和修改配置的前提下使目标系统通过JNDI远程获取数据库源,触发攻击者的恶意代码
关于Apache Log4j2远程代码执行漏洞
flx的博客
12-10 665
关于Apache Log4j2远程代码执行漏洞
Java框架安全篇--log4j2远程代码执行漏洞
m0_63138919的博客
04-06 1370
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测拦截
qcloud_security的博客
12-10 2896
腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码漏洞描述: 腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志
apache log4j2远程代码执行漏洞检测工具
08-31
Apache Log4j2远程代码执行漏洞是一种影响Apache Log4j2日志记录库的严重安全漏洞。该漏洞允许攻击者通过发送特制的网络请求,远程执行任意代码,导致服务器完全被控制。 为了帮助检测这个漏洞,一些安全公司和社区...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

羌俊恩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值