本文详细讲解了如何利用log4j的远程注入漏洞,在服务端植入可执行代码。通过创建HTTP调用指令,建立1099端口的JNDI监听,当用户在Web浏览器输入包含特定指令的用户名时,如果服务端打印该日志,就可能导致代码被执行。
IT之家 12 月 10 日消息,近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。IT之家获悉,由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等均受影响。因该组件使用极为广泛,提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。漏洞评级
Apache Log4j 远程代码执行漏洞 严重
对log4j的漏洞处理其实有两种解决方式,要么去除依赖要么升级版本,去除依赖可能存在去除不彻底的情况,因为很多引用的框架都有log4j的依赖,甚至像es搜索引擎具有强依赖的,去除直接导致无法进行数据检索。如果采取升级版本的方式,存在bug修复不彻底的风险,自2021年12月10号发现bug起就已经修复产生了三个版本了。目前最新更新到2.17.0的版本了。
2.17.0版本: 在 Log4j 漏洞曝光之后,Apache 软件基金会于上周二发布了修补后的 2.17.0 新版本,并于周五晚些发布了一个新补丁。官方承认 2.16 版本无法在查找评估中妥善防止无限递归,因而易受 CVE-2021-45105 攻击的影响。据悉,这个拒绝服务(DoS)攻击的威胁级别相当之高,CVSS 评分达到了 7.5 / 10 ,在2021年12月18日修复了此bug
2.16.0版本: Apache Log4j 的 2.0-alpha1 到 2.16.0 版本被发现存在新的漏洞 CVE-2021-45105,该漏洞评分 7.5,官方已发布 2.17.0 修复了该漏洞。IT之家了解到,该漏洞是自引用查找的不受控制的递归问题&
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
