听说阿里云发现了 Apache Log4j 2远程代码执行漏洞

最新推荐文章于 2021-12-25 10:24:00 发布
最新推荐文章于 2021-12-25 10:24:00 发布
阅读量1.9k 收藏 1
点赞数
文章标签: java python 安全 大数据 kafka
原文链接:https://mp.weixin.qq.com/s?__biz=MzA3OTUyNjkwMw==&mid=2656658522&idx=1&sn=f0a2b55b9dbda8821feb898499eacc32&chksm=841feac2b36863d45976dc17b1aa347e6553c5749e6518abcb50dec305dfc6e564df730d8fd9&scene=126&&sessionid=0
版权

朋友圈炸锅了,但是关我什么鸟事?

因为我从来不用Log4j,我也从不记录日志。

当然了,用到的小伙伴还是赶紧修复了吧,免得夜长梦多!

9181a60114b6a2960f6adcde2377e0f3.gif

切莫大意,之前小编的演示网站被黑锅,还写了一篇文章纪念

惊魂之夜,服务器被挂马了,但感谢不杀之恩!

漏洞公告

近日,安恒信息应急响应中心监测到Apache Log4j 2存在远程代码执行漏洞,经验证,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制。由于Apache Log4j 2应用较为广泛,建议使用该组件的用户尽快采取安全措施。


影响范围

漏洞影响版本

2.0 <= Apache Log4j 2 <= 2.14.1

安恒信息应急响应中心已验证该漏洞的可利用性:

837949d23622e4745e0e508563f70f8e.png


漏洞描述

Apache Log4j 2是一个基于Java的日志记录工具,是对 Log4j 的升级。近日安恒信息应急响应中心监测到Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。



缓解措施

紧急:目前漏洞POC已被公开,官方已发布安全版本,建议使用该组件的用户尽快采取安全措施。

处置:

1、升级Apache Log4j 2至最新安全版本,下载地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

安恒应急响应中心

2021年12月

c9c212b008d6f4af189f610350dddc65.gif

推荐一个超级简单 Java 图形验证码模块

分享一个支付大屏实时监控数据平台

推荐一款清爽的实时监控大屏附安装教程

大屏监控 Metabase 集成到 Java 项目

一个超牛逼的 Java 文件在线预览项目

如何保障消息100%投递成功、消息幂等性

技术人,做的越多你才能走的更远

传统功夫,点到为止,这次不搞偷袭!

小清新前后端分离后台管理系统

一个开源免费的车牌识别训练实战项目

霸气分享 74 款绚丽的监控大屏

一个基于 Vue3.x 的数据可视化大屏项目

推荐一款基于 Vue 的电商级海报生成器

SpringBoot 的接口快速开发框架

不是太高的手
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入解析著名的阿里云Log4j 漏洞
悦分享
07-24 3392
ApacheLog4j是一个基于。
Log4j 漏洞最早由阿里云团队发现;HashiCorp 挂牌上市,市值 152 亿美元;Go 1.18 Beta1 发布 | 开源日报
热门推荐
开源吞噬世界。
12-15 1万+
一文速览国内外今日的开源大事件!
阿里云被工信部暂停合作,惹事的Log4j2漏洞该如何解决?
u010630703的博客
12-23 539
近日,一众开发和维护人员正马不停蹄地开始修补 Log4j2 漏洞,但要真正修复完毕,还有很多工作要做。 最近几天,各家互联网大厂的程序员朋友们,都快被 Log4j2 漏洞折磨疯了,纷纷启动自家软件的漏洞修复。今天早上,阿里云被爆出作为工信部网络安全威胁信息共享合作平台,阿里云发现漏洞时并未及时向工信部汇报,所以被暂停合作 6 个月。在暂停期满后,根据阿里云的实际整改情况研究是否恢复合作。该漏洞最早被爆出是在 12 月 10 日凌晨。12 月 10 日凌晨,Apache 开源项目 Log4j远程代码
阿里云关于阿帕奇Log4j2漏洞后续:为全球性高危漏洞,未及时共享信息
ITValue的专栏
12-23 1436
关注ITValue,看企业级最新鲜、最价值报道!近日,阿里云未及时共享Log4j2漏洞,并被工信部暂停相关合作单位一事,受到业界关注。12月22日,工信部网络安全管理局通报称,近日,阿里...
阿里云发现Log4j2核弹级漏洞但未及时上报,被工信部处罚...
开发者技术前线-DevolperFront
12-22 1102
点击“开发者技术前线”,选择“星标” 让一部分开发者看到未来转载自21财经原文地址:https://m.21jingji.com/timestream/html/%7BU9Pjf0FaKE...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Log4J2远程代码执行漏洞修复20211210.rar
12-13
然而,在2021年12月,研究人员发现了一个高危的远程代码执行漏洞,该漏洞存在于Log4J2的JNDI(Java Naming and Directory Interface)查找功能中。当应用程序接收到包含恶意构造的字符串并将其记录时,攻击者可以...
阿里云java源码-aliyun-log-log4j2-appender:aliyun-log-log4j2-appender
06-06
阿里云java源码Log4j2 附加程序 阿里云日志 Log4j2 Appender Apache Log4j2 是对 Log4j 的升级,与其前身 Log4j 1.x 相比提供了重大改进。 可以通过Log4j2控制日志的目的地。 它可以是控制台、文件、GUI 组件、套接字、NT 事件日志、系统日志。 您还可以控制每个日志的输出格​​式。 您可以通过日志级别来控制日志的生成过程。 最有趣的是你可以通过一个配置文件完成以上的事情,不需要任何代码修改。 您可以通过Aliyun Log Log4j2 Appender将您的日志目的地设置为阿里云日志服务。 阿里云日志服务中的日志格式如下: level: ERROR location: com.aliyun.openservices.log.logback.example.LogbackAppenderExample.main(LogbackAppenderExample.java:18) message: error log throwable: java.lang.RuntimeException: xxx thread: main tim
aliyun-log-log4j-appender:aliyun-log-log4j-appender
05-03
Log4j Appender 阿里云Log Log4j Appender Apache log4j是一个Apache软件基础项目。 您可以通过Log4j控制日志的目的地。 它可以是控制台,文件,GUI组件,套接字,NT事件日志,系统日志。 您也可以控制每个日志的输出格​​式。 您可以通过日志级别控制日志的生成过程。 最有趣的是,您可以通过配置文件完成上述操作,而无需进行任何代码修改。 您可以通过Aliyun Log Log4j Appender将日志的目标位置设置为AliCloud Log Service。 AliCloud日志服务中的日志格式如下: level: ERROR location: com.aliyun.openservices.log.log4j.example.Log4jAppenderExample.main(Log4jAppenderExample.java:1
阿里云发现Log4j2漏洞未及时上报,被工信部处罚!
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
12-25 2850
????????关注后回复“进群”,拉你进程序员交流群????????来源丨51CTO技术栈https://mp.weixin.qq.com/s/ksowQzNW009V9J3AHnOIIg近日,一众开发和维...
阿里云-log4j2日志不输出
chuoyutian7862的博客
09-08 417
因为ons-client-1.7.x.Final.jar中的ClientLogger里修改了配置文件为:xxx_rocketmq_client.xml System.setProperty("rocketmq.client.log.loadconfig","false"); 或...
(CVE-2021-44228)Apache log4j 远程命令执行
weixin_45253622的博客
12-19 4054
漏洞简介 Apache Log4j2是一款Java日志框架,大量应用于业务系统开发。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞(CVE-2021-44228)。 Apache Log4j2远程代码执行漏洞由Lookup功能引发。Log4j2在默认情况下会开启Lookup功能,用于将特殊值添加到日志中。此功能中也支持对JNDI的Lookup,但由于Lookup对于加载的JNDI内容未做任何限制,使得攻击者可以通过JNDI注入实现远程加载恶意类到应用
尴尬,刚夸完就被罚,因未及时报告Log4j2安全漏洞阿里云被处罚
终码一生
12-24 3918
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 近期,工业和信息化部网络安全管理局通报称,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。 近日,阿里云公司发现阿帕奇(ApacheLog4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。 阿帕奇(ApacheLog4j2组件是基于Java
Log4j漏洞不仅仅是修复,更需要构建有效预警机制
阿里云云栖号
12-15 5229
简介:软件的漏洞有时不可避免,根据Gartner的相关统计,到 2025 年,30% 的关键信息基础设施组织将遇到安全漏洞。日志服务SLS,可帮助快速部署一个预警机制,使得漏洞被利用时可以快速发现并及时响应。通过使用阿里云日志服务SLS,只需两步即可完成攻击检测。 近日,被全球广泛应用的Java日志框架组件Apache Log4j被曝出一个高危漏洞,攻击者仅需一段代码就可远程控制受害者服务器,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。 据外媒报道,Steam、苹果的云服务受到了影响,推特和亚
Apache Log4j2 核弹级漏洞
qq_37300107的博客
12-16 2419
近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。 漏洞详情: Apache Log4j 远程代码执行漏洞 严重程度: 严重 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置 漏洞情况分析: Apache Log4j是一个基于Java的日志记录组件.
漏洞预警】Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)
明哥哥知识分享
12-13 1654
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。 漏洞描述 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能
apache log4j2远程代码执行漏洞检测工具
最新发布
08-31
Apache Log4j2远程代码执行漏洞是一种影响Apache Log4j2日志记录库的严重安全漏洞。该漏洞允许攻击者通过发送特制的网络请求,远程执行任意代码,导致服务器完全被控制。 为了帮助检测这个漏洞,一些安全公司和社区...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值