Apache Log4j2漏洞

骆驼整理说

已于 2024-06-08 09:14:32 修改

阅读量832

点赞数 6

分类专栏：系统架构设计文章标签： apache log4j

于 2023-11-13 21:21:33 首次发布

本文链接：https://blog.csdn.net/xing_jian1/article/details/134386878

版权

系统架构设计专栏收录该内容

54 篇文章 7 订阅 ¥19.90 ¥99.00

订阅专栏

本文详细介绍了Apache Log4j2的安全漏洞，包括漏洞复现、漏洞原理，以及2.15.0-rc1和2.15.0-rc2两个补丁版本的分析，揭示了如何通过特殊URI绕过rc1的限制。

摘要由CSDN通过智能技术生成

Log4j2是一个Java日志组件，被各类Java框架广泛使用，它的前身是Log4j，Log4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jar包log4j-${版本号}.jar。Log4j2分为2个jar包，一个是接口log4j-api-${版本号}.jar，一个是具体实现log4j-core-${版本号}.jar。Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。Log4j2的package名称前缀为org.apache.logging.log4j。Log4j的package名称前缀为org.apache.log4j。

Log4j2的Lookup主要功能是通过引用一些变量，往日志中添加动态的值。这些变量可以是外部环境变量，也可以是MDC中的变量，还可以是日志上下文数据等。

漏洞复现

以下复现使用Log4j2-2.14.1版本，maven依赖

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.1&l

了解本专栏

订阅专栏解锁全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

骆驼整理说

关注关注

6
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

Apache Log4j2漏洞修复方案

qq_43570767的博客

01-16

986

Apache Log4j2 漏洞修复方案 + ESAPI

apache-log4j-2.0

02-21

Apache Log4j 2.0 发布第 4 个 Beta 版本，包括的新特性有： o Added Log4j 2 to SLF4J adapter. o LOG4J2-131: Add SMTPAppender. Thanks to Scott Severtson. o Added hostName and contextName to property map. o Add MessageFormatMessage and FormattedMessage. o LOG4J2-134: Use %red, %white, %blue, and so on in the console appender. o LOG4J2-133: Allow custom message creation via a message factory. o Added Flume Appender samples. 还包括诸多 bug 修复，详情请看发行说明。

参与评论您还未登录，请先登录后发表或查看评论

Apache Log4j2 漏洞详谈

infosec的博客

12-16

5822

源于Apache Log4j2这个漏洞的描述很多，也有很多的解法。开这个博的目的就是想分析一下漏洞具体是如何被利用的，这个大黑锅下面都有哪些坑。最近由阿里安全团队爆出来的Apache Log4j2漏洞，可以说是霸占了大部分网安人的朋友圈。同时一张热图也被传来传去，就是下面这个图片。由于Apache Log4j2组件应用的普及性，导致了大部分的应用都受到波及。同时我们也需要知道并不是所有的log功能都是通过Apache Log4j2来实现的，其实我们还有很多选择。众所周知Log4j2是Apache 家的

Log4j2远程代码执行漏洞

热门推荐

未完成的歌~的博客

03-15

1万+

Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本，其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能，导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数，是通过配置文件中的${}语法调用的，例如：如果在日志消息中使用了，那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值，并将其替换为实际值。

Apache Log4j2 远程代码执行漏洞检测工具

12-15

针对这个漏洞，开发出了专门的Apache Log4j2远程代码执行漏洞检测工具，这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...

Apache Log4j 2代码漏洞处置指南及检测工具.zip

12-10

Apache Log4j 2存在远程代码执行漏洞处置指南及期检测工具

Apache Log4j2（远程代码执行漏洞）

F2444790591的博客

07-08

8026

1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下，启动该环境。 3、访问目标靶场： 4、在Dnslog.cn中生成接收信息的域名。 5、提交dnslog payload 参数，进行访问。 6、可以发现dnslog接收到返回的信息，证明存在log4

Apache Log4j2 漏洞问题

Mr_JK的专栏

12-10

7024

Apache Log4j2 是一款开源的 Java 日志记录工具，大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。影响范围:Apache Log4j 2.x <= 2.14.1 综合评估利用难度低，利用要求少，影响范围很大，且已经被黑客公开利用全网扫描，根据部里要求，需要紧急修复。修复方案: 1、紧急缓解措施：（1）修改jvm参数 -

Apache Log4j2远程代码执行漏洞

qq_26622469的博客

12-16

2131

漏洞分析组件介绍 Apache Log4j2 是一款Java日志框架，是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。由于其易用性被广泛集成于各种服务器和组件中。漏洞描述 2021年12月9日，深信服安全团队监测到一则Apache Log4j2 组件存在远程代码执行漏洞的信息，并成功复现该漏洞。漏洞编号：CNVD-2021-95914。漏洞威胁等级：严重。该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能，

《漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞(1)

2301_76223496的博客

04-14

840

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！

突发！Apache Log4j2 报核弹级漏洞

Java之间

12-15

223

1、都在建议你不要直接使用 @Async 注解，为什么？ 2、面试官：抛开Spring来说，如何自己实现Spring AOP? 3、蓝绿发布、滚动发布、灰度发布，有什么区别？这下明白了 4...

Apache Log4j2程代码执行漏洞(CVE-2021-45105/CVE-2021-44228)且 pom.xml文件中是slf4j-log4j12依赖的漏洞修复

weixin_45222548的博客

07-24

910

CVE-2021-45105/CVE-2021-44228漏洞且 pom.xml文件中是slf4j-log4j12依赖的系统修复。

Apache Log4j2漏洞复现

MoCoCN的博客

12-22

2942

0x00 前言慢慢的距离上次写文章已过去了377天，这一年发生了好多好多的事，经历了好多好多的变故，或喜或悲、或分或合、起起落落，整整的一年了得，没怎么好好学习，没怎么认真的钻研技术，对自己表示很抱歉，违背了“白帽守则”，让我们重温一下“白帽守则”：白帽守则第一页第一条，心中无女人，挖洞自然神。白帽守则第一页第二条，只有不努力的白帽，没有挖不到的漏洞对此我深表歉意、望大家以我为戒，踏踏实实的深入贯彻落实“白帽守则”，切实维护祖国网络空间安全。 0x01漏洞描述 Apache Log4j2是一款优秀的

Apache Log4j 2 远程代码执行漏洞详解

SimpleAstronaut的博客

12-11

1万+

Apache Log4j2 远程代码执行漏洞的详细信息已被披露，而经过分析，本次 Apache Log4j 远程代码执行漏洞，正是由于组件存在 Java JNDI 注入漏洞：当程序将用户输入的数据记入日志时，攻击者通过构造特殊请求，来触发 Apache Log4j2 中的远程代码执行漏洞，从而利用此漏洞在目标服务器上执行任意代码。

apache log4j2漏洞

01-13

Apache Log4j2是一个流行的Java日志框架，用于记录应用程序的日志信息。然而，最近发现了一个严重的漏洞，被称为Apache Log4j2远程代码执行漏洞。该漏洞允许攻击者通过精心构造的日志消息触发远程代码执行，从而完全控制受影响的应用程序。攻击者可以通过在日志消息中插入恶意的Java代码来利用此漏洞。当应用程序使用Log4j2来记录这些恶意的日志消息时，Log4j2会尝试解析并执行其中的代码，从而导致远程代码执行。这个漏洞的危害非常严重，因为它可以被远程利用，而且攻击者可以完全控制受影响的应用程序。攻击者可以执行任意的系统命令、访问敏感数据、篡改应用程序的行为等。目前，Apache Log4j2的开发团队已经发布了修复此漏洞的补丁，并建议所有受影响的用户尽快升级到最新版本。此外，还可以通过配置Log4j2的安全策略来限制日志消息的解析和执行，以减轻此漏洞的风险。如果你想了解更多关于Apache Log4j2远程代码执行漏洞的详细信息，可以参考引用和引用中提供的文章。