log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)

最新推荐文章于 2025-11-05 09:16:40 发布
原创 最新推荐文章于 2025-11-05 09:16:40 发布 · 1.5w 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #java

本文详细分析了Log4j2自2.14.1版本爆出漏洞后的三个稳定版本的安全改进,包括2.15.0、2.16.0和2.17.0版本,针对每个版本的修复方案、遗留问题及总结进行了阐述。

0x00 前言

自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。
本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。
分割线---------------------------------------------------------------------------------------
在28号晚上,log4j又修复了一个“RCE漏洞”(CVE-2021-44832),之所以RCE要打引号,是因为严谨一些说的话,这个其实不能算个漏洞,这个CVE的分析详情在3.2节。

0x01 2.15.0版本

1.1 修复方案

此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下:
1、默认禁用msg lookup功能
2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务的host只能为本地ip、对javaClassName属性做了限制、且不允许ldap服务返回javaFactory属性。

1.2 遗留问题

上述第2点的防御措施可被绕过,绕过原理也比较简单,绕过详情可阅读4ra1n师傅的分析文章
但如果要利用此漏洞,一般有如下两种情景:
1、开启msg lookup功能:
(1)在log4j2.xml中进行如下配置,即可开启lookup功能:

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="OFF" monitorInterval="30">
    <appenders>
        <console name="CONSOLE" target="SYSTEM_OUT">
            <PatternLayout pattern="%msg{lookups}%n"/>
        </console>
    </appenders>
    <Loggers>
        <Root level="error">
            <AppenderRef ref="CONSOLE"/>
        </Root>
    </Loggers>
</Configuration>

(2)如下代码即可触发漏洞:

public class Main {
   
   
    public static void main(
最低0.47元/天 解锁文章
CVE-2021-44228 log4j RCE漏洞原理详细分析排查和修补
m0_61506558的博客
09-14 1831
影响范围和排查方法1CVE-2021-44228影响版本使用了log4j的组件,并且版本在 2.x
log4j2漏洞升级不打印日志
weixin_44431755的博客
09-25 1312
log4j2漏洞升级不打印日志
Log4j 漏洞修复和临时补救方法
12-14 3956
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
Apache Log4j远程代码执行漏洞深度解析与修复方案(CVE-2021-44832
最新发布
weixin_42588877的博客
11-05 828
htmltable {th, td {th {pre {简介:jndi:ldap://
log4j-2.17.1的jar包,导入即可使用
02-07
log4j的jar包,用于代码开发,记录日志等
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4902
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Log4j一个月内第五次漏洞2.17.1版本修复了新的远程代码执行错误
极道Jdon的技术博客
12-29 2329
Apache 发布了另一个 Log4j 版本 2.17.1修复2.17.0 中新发现的远程代码执行 (RCE) 漏洞,编号为 CVE-2021-44832。在今天之前,2.17.0 是 Log4j 的最新版本,被认为是最安全的升级版本,但现在这个建议已经演变。一个月内五次Log4j CVE攻击者对原始Log4Shell 漏洞(CVE-2021-44228) 的大规模利用始于 12 月 9 日左右,当时 GitHub 上出现了针对该漏洞的PoC 漏洞利用。发现...
Apache Log4j 2修复漏洞CVE-2021-44832
平庸
12-30 1551
Apache Log4j 2修复漏洞CVE-2021-44832
精选资源
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
而对于 Java 8 或更高版本的系统,应当将 Log4j 更新2.17.1 或更晚的版本,因为这些版本包含了针对 CVE-2021-44228 的关键修复。 在提供的压缩包文件中,有不同版本的 Log4j 发行版: 1. `apache-log4j-2.19.0-...
精选资源
log4j-api-2.17.1.jar和log4j-core-2.17.1.jar
03-11
2021年底,Log4j2被发现存在一个严重漏洞(CVE-2021-44228),这个远程代码执行(RCE)漏洞允许攻击者通过构造特定的日志输入来执行任意代码。及时升级到2.17.1版本可以避免这个问题,因为此版本包含了针对该漏洞...
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.tar.gz)
01-07
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.tar.gz) 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复安全...
log4j-core-2.17.1-API文档-中英对照版.zip
06-06
赠送jar包:log4j-core-2.17.1.jar; 赠送原API文档:log4j-core-2.17.1-javadoc.jar; 赠送源代码:log4j-core-2.17.1-sources.jar; 赠送Maven依赖信息文件:log4j-core-2.17.1.pom; 包含翻译后的API文档:log4j-core-2.17.1-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.logging.log4j:log4j-core:2.17.1; 标签:apache、logging、log4j、core、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
Log4j漏洞修复
培根芝士的专栏
12-30 2326
Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。 1210 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 简单来说,就是在打印日志时,如果发现日志内
Apache Log4j 漏洞修复
weixin_43354218的博客
12-19 702
Log4j 漏洞修复 文章目录Log4j 漏洞修复1漏洞介绍2漏洞修复2.1 1.升级Log4j版本2.2 配置启动参数 1漏洞介绍 Apache Log4j2 是一款优秀的 Java 日志框架,Log4j 2.x – 2.14.0 版本 Lookup 基于 JNDI(Java Naming and Directory Interface),而 JNDI 支持 RMI ( Remote Method Invocation )。这导致在打印用户输入特定文本时可能远程调用任意代码在本地执行。 2漏洞
分布式 | log4j2 漏洞修复方案
ActionTech的博客
12-15 2726
作者:鲍凤其 爱可生 dble 团队开发成员,主要负责 dble 需求开发,故障排查和社区问题解答。少说废话,放码过来。 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。 dble 运行依赖许多组件的 jar 包,当遇到某个组件有漏洞时,需要紧急修复。 Apache Log4j2 安全漏洞说明:https://nosec.org/home/detail/4917.html 修复方案 ⚠️:方案1可实施,截止至北京时间20211214日11时,log.
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4264
spring-boot-starter-log4j2漏洞修复方式
log4j漏洞修复(过程记录)
tian_tang_g的博客
12-30 935
log4j漏洞修复
elasticsearch-7.13.3 升级log4jlog4j-2.17.1
soso的博客
04-03 2475
2、下载后解压apache-log4j-2.17.1-bin.tar.gz。log4j低版本存在严重漏洞,根据需要升级到安全版本,不一定是最新。进入elasticsearch-7.13.3目录。log4j-2.17.1 jar包下载地址。5、重新启动elasticsearch服务。4、将需要升级的包拷贝到对应目录。升级需要用到截图中四个jar包。删除旧版本log4j
漏洞修复】Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)
m0_52985087的博客
01-23 2071
本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统,修复Log4漏洞
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值