【编译办法】Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)补丁办法

最新推荐文章于 2025-03-31 20:48:17 发布
最新推荐文章于 2025-03-31 20:48:17 发布
阅读量3.2k 收藏
点赞数
分类专栏: Linux 文章标签: apache maven 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Emmett_Bioinfo/article/details/121926453
版权
本文档详细介绍了如何修复Apache Log4j2的远程代码执行漏洞(CNVD-2021-95914)。包括下载源码、安装Apache Maven、配置JDK环境,以及解决编译过程中遇到的log4j-api-java9和log4j-perf问题,最后成功编译和安装补丁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)

收到网络中心老师发的邮件

2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)。攻击者利用该漏洞,可在未授权的情况下远程执行代码,获得目标服务器权限。目前,漏洞利用细节已公开,Apache官方已发布补丁修复该漏洞。CNVD建议受影响用户立即更新至最新版本,同时采取防范性措施避免漏洞攻击威胁。
https://www.cert.org.cn/publish/main/8/2021/20211210110550958546708/20211210110550958546708_.html

服务器上有Apache服务,因此想办法修复补丁。在https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2找到了源码,拿下来不会编译,百度搜了下,找到了一个好用的答案。

好用的编译方法

主要步骤

安装apache-maven-3.6.3

cd /opt
wget https://mirrors.ocf.berkeley.edu/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz --no-check-certificate
mkdir /opt/maven
tar -zxvf apache-maven-3.6.3-bin.tar.gz -C /opt/maven

下载编译好的JDK

需要提前下载并解压JDK8, JDK9.0.4, JDK11.0.13

环境配置

要用Java1.8的环境
vim /etc/profile 编辑

最低0.47元/天 解锁文章
Apache log4j2远程代码执行漏洞复现
世间繁华梦一出
12-11 1万+
Apache log4j2 远程代码执行漏洞复现漏洞描述漏洞影响范围漏洞复现步骤:深度利用——反弹shell防御措施 漏洞描述 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。 漏洞影响范围 2.0 <= Apache
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 2019
近期,Apache Log4j2 远程代码执行漏洞CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2Log4j 的升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
Apache Log4j2远程代码执行漏洞复现及修复建议
isxiaole的博客
12-13 6788
环境:本实验使用vulfocus提供的Log4j2远程命令执行靶机。 声明:文章所提供的内容和工具仅供于个人学习和研究,严禁传播者利用本文章的相关内容进行非法测试。由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 背景: Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 影响版本: 经验证 2.15.0-rc1 版本存在绕.
Apache Log4j2 远程代码执行(CVE-2021-44228)
最新发布
2303_76157831的博客
03-31 1598
Apache Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。
Log4j2高危漏洞CNVD-2021-95914分析复现修复
进击的小白
12-14 6569
漏洞描述 安全公告编号:CNTA-2021-0033 安全公告编号:CNTA-2021-0032 2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞CNVD-2021-95914)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用细节已公开,Apache官方已发布补丁修复该漏洞CNVD建议受影响用户立即更新至最新版本,同时采取防范性措施避免漏洞攻击威胁。 一、漏洞情况分析 Apache Log4j是一个基于Java的
log4j-CNVD-2021-95914-BUG
sirius
12-17 343
log4j-CNVD-2021-95914-BUG 1. 缺陷复现 缺陷方演示 import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j_CNVD_2021_95914 { private static final Logger log = LogManager.getLogger(log4j_CNVD_2021_95914.class); publi
apache log4j2漏洞攻防演练与补丁升级说明
打造全国最全的AI Agent开发知识领域的博客
12-14 6177
log4j2漏洞没有大家想像的那么可怕,全文演示了这个漏洞即不可怕也可怕的原因以及有漏洞时的攻击效果和升级完后攻击无效是怎么样的效果,用以帮助大家如何验证升级后的log4j2是否有效的目的。
JavaWeb代码审计实战之迷你天猫商城系统详细分析版,实战应用级系统的Log4j2shell代码审计
Power7089的博客
08-22 2519
JavaWeb代码审计实战之迷你天猫商城系统详细分析版,实战应用级系统的Log4j2shell代码审计
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 2228
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
cnvd漏洞数据解析】:Python正则与XPath的实战对比
本文探讨了CNVD漏洞数据解析的技术细节,重点分析了Python正则表达式和XPath在提取和处理漏洞信息中的应用。首先介绍了CNVD漏洞数据和两种解析技术的基础知识,随后详细讨论了它们在实际案例中的使用,包括性能考量...
深入剖析最新Log4j2漏洞调用流程【CVE-2021-44228、CNVD-2021-95914
Armandhe的博客
12-10 577
深入剖析最新Log4j2漏洞调用流程【CVE-2021-44228、CNVD-2021-95914
windows热补丁Log4j2漏洞缓解工具漏洞java补丁.zip
12-16
Log4j2漏洞缓解工具可检测您的终端、服务器内是否存在Log4j2漏洞。检测到漏洞后,会自动通过“热补丁”+“静态加固”的方式,对此模块进行临时加固,帮助用户更好的进行业务风险自查和升级处置。
log4j 重大漏洞补丁编译包】log4j2.2.15.0-rc2.zip
12-13
近日,Apache-log4j 披露出 log4j.x<=log4j2.2.15.0-rc2存在重大漏洞,随后官方在 GitHub 上快速发布了补丁包。很可惜该补丁包并没有经过编译maven 仓库中也没有更新相应补丁。因此,编译log4j.2.15.0-rc2 包给有需要的同学食用。
php5.5 apache2.4环境搭建及教程含补丁
01-13
php5.5 apache2.4环境搭建及教程含补丁包 微软常用运行库合集64位_2015.11.exe下载地址:http://download.youkuaiyun.com/download/vividwq/9736341
tomcat打补丁方法
08-11
tomcat打补丁方法
SpringBoot更换Apache Log4 2.15.0-rc2j漏洞补丁
皓亮君的博客
12-10 2788
文章目录1.Apache Log4j 远程代码执行漏洞以及修复建议2.编译最新的源码成jar包3.在springboot项目中更新log4j补丁3.1把编译好的jar包放到项目根路径下3.2 引入依赖3.3 配置把本地jar打包到项目中 1.Apache Log4j 远程代码执行漏洞以及修复建议 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功
Windows Server 2003下Apache Http Server升级到2.2.32,如何打补丁
蚂蚁博客
07-03 3364
现在四个patche后缀的补丁CVE-2017-3167,CVE-2017-3167,CVE-2017-7668,CVE-2017-7679,需要安装到Apache Http Server2.2.32
如何打补丁及升级
anshejd70787的博客
05-14 699
1、找到Opatch目录 第一种方法,使用linux命令: [oracle@kel ~]$ find ./* -type f -name "opatch" ./product/10.2.0/db_1/OPatch/opatch 第二种方法,使用: [oracle@kel ~]$ echo $ORACLE_HOME /home/oracle/pr...
Fastjson反序列化远程代码执行漏洞CNVD-2020-30827)漏洞复现
12-28
### 复现 FastJSON 反序列化远程代码执行漏洞 CNVD-2020-30827 #### 准备工作 为了复现此漏洞,需准备以下条件: - 使用受影响版本的 FastJSON 库(<= 1.2.64),因为这些版本存在反序列化过程中处理 `@type` 字段的安全缺陷[^1]。 - 构建一个能够接收 JSON 输入的应用程序接口。 #### 漏洞原理说明 FastJSON 在解析含有 `@type` 的 JSON 数据时会尝试实例化对应的 Java 类对象。如果应用程序允许不受信任的数据源提供此类输入,则可能触发任意代码执行。特别是当开启 autotype 功能后,风险显著增加,攻击者可以通过精心构造的 payload 实现 RCE (Remote Code Execution)。 #### 利用过程描述 构建恶意负载的关键在于找到合适的 gadget chain 来达成最终的目标——执行任意命令。对于 CNVD-2020-30827 特定情况而言,通常涉及利用某些标准库中的类作为起点,比如 JdkSerializeRMI 或其他能间接导致 shell 命令被执行的方法路径。 具体来说,可以创建如下结构的 JSON 负载用于测试目的(请注意这仅限于合法授权下的安全研究环境内操作): ```json { "@type": "java.net.InetAddress", "val": "localhost" } ``` 上述例子展示了最基础形式之一;实际攻击场景下可能会更加复杂,并且依赖具体的业务逻辑以及可用 gadgets 组合而成更强大的链路来完成整个攻击面覆盖。 #### 安全建议 鉴于该类型的漏洞可能导致严重的安全隐患,在生产环境中应严格限制对外部可控数据使用 FastJSON 进行反序列化操作,并及时升级至官方发布的最新稳定版以获得必要的修复补丁和支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

EmmettPeng

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值