log4j2Bug

最新推荐文章于 2025-04-14 11:10:50 发布
最新推荐文章于 2025-04-14 11:10:50 发布
阅读量404 收藏
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_50589168/article/details/122383684
版权
本文聚焦于Log4j2的CVE-2021-44228严重安全漏洞,解释其原理,涉及的远程代码执行风险,并讨论可能的修复措施,以及官方和行业动态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

大bug

因为前几个月发生了一个大bug,Log4j2 ,代号是CVE-2021-44228,有人称简直相当于核弹级别的bug。

事实上也是如此,大部分的项目已经被查出有此bug。

至于为什么都会有,天下之大,为何你的样貌尽与我出奇的相似。

下载.jpeg

听说那个时候是半夜出现的大bug。第二天log4j也是直接发布的最新的版本来解决此bug。但是也似乎没有给出确切的答案是否已经完全修复了。

截屏2021-12-12 下午8.28.50.png

漏洞原因:

log4j 提供了Lookups 机制,用于添加一些特殊值到日志中,在 Lookups 机制中,由于 JNDI 功能没有对名称解析做限制,而某些协议是不安全的,可以允许远程代码执行。

所以导致一些人使用计算器就可以入侵数据库

截屏2021-12-12 下午8.23.58.png

如何根治

如何根治我不知道,尽量等待官方和几家大厂的修复吧。

log4j2官方

我鮳,Log4j2突发重大漏洞,我们也中招了。。
沉默王二
12-12 3万+
长话短说吧。 相信大家已经被 Log4j2 的重大漏洞刷屏了,估计有不少小伙伴此前为了修 bug 已经累趴下了。很不幸,我的小老弟小二的 Spring Boot 项目中恰好用的就是 Log4j2,版本特喵的还是 2.14.1,在这次漏洞波及的版本范围之内。 第一时间从网上得知这个漏洞的消息后,小二吓尿了。赶紧跑过来问老王怎么解决。 老王先是给小二提供了一些临时性的建议,比如说: JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true log4j2.formatMsgNoLooku
Log4J2源码系列(十一) - 从2.6版本影响到现在的bug, 使用JMX监控的可以看看
sweetyi的专栏
04-23 1078
Log4J22.6版本至今未解决的bug,配置热更新通知事件属性不正确的bug
log4j2的核弹级bug排查与验证过程
lk的博客
12-11 4461
Apache Log4j2Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。问题复现过程,以及相关原理,还有修复建议如下
Log4j远程代码执行漏洞
最新发布
一个热衷于网络安全的技术宅,这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议,常常调调漏洞,目标是在0和1之间找到属于自己的战斗力。
04-14 763
遇到问题可以先看注意事项!!!
Log4j2 重大漏洞与解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j的漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
一文读懂面试官都在问的Log4J2漏洞
YangYubo091699的博客
04-11 6150
​ Apache log4j2-RCE 漏洞是由于Log4j2提供的lookup功能下的JndiLookup模块出现问题所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的信息进行判断,导致Log4j2请求远程主机上的含有恶意代码的资源 并执行其中的代码,从而造成远程代码执行漏洞。​
Log4j2 又爆出重大buglog4j-2.17.0-rc1 紧急发布
q1472750149的博客
12-21 2435
一、框架简介 Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 二、漏洞清单 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。[漏洞链接](CVE - CVE-2021-44228 (mitre.org)) 安全公司 Praetorian 发现 2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。[
2024年Apache Log4j2漏洞_slf4j-log4j12漏洞版本,Golang语言基础教程
2401_84910962的博客
05-13 834
JNDI(Java Naming And Directory Interface,Java命名服务和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI,Serial Peripheral Interface)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。由于Log4j 是目前全球使用最广泛的Java日志框架之一。
log4j各版本jar包
02-01
log4j各版本详解与应用》 在Java开发领域,日志管理是不可或缺的一部分,而Log4j作为Apache组织开发的一款开源日志框架,因其高效、灵活的特点,被广泛应用于各种Java应用程序中。本文将深入探讨Log4j的各个版本...
log4j2核弹级漏洞原理和分析
2401_84411847的博客
04-19 1045
起因这两天被log4j2的漏洞给刷屏了,就像下面这样但是很少有人提及这个漏洞到底是怎么回事儿。log4j2最为非常顶尖的日志框架,怎么会出现这种级别的漏洞呢?了解过漏洞的原理之后我发现,这应该算是一种低级漏洞了。原理就是。
log4j2 -2.11.1.zip
12-17
log4j2-2.11.1版本下载。包含log4j-api-2.11.1.jar和log4j-core-2.11.1.jar两个文件
log4j-core-2.11.1
02-20
log4j2log4j-api-2.11.1.jar和log4j-core-2.11.1.jar
log4j-api-2.11.2.jar
10-11
apache-log4j-2.11.2-bin的jar包下载,版本log4j-2.11.2
apache-log4j-2.11.2-bin
03-26
apache-log4j-2.11.2官方jar包, 可用于spring、springmvc开发
LOG4J RCE 漏洞分享与自查.pdf
12-15
Log4j RCE 漏洞是近期爆发的一种高危漏洞,它影响了全球许多业务线,原因在于引入的 Log4j2 2.10.0 版本中存在的漏洞。本文将详细介绍 Log4j RCE 漏洞的成因、漏洞复现、检测方法和解决方案。 漏洞原因: Log4j ...
【复现log4j2bug
努力学习
12-28 1215
bug出现的版本 log4j2 版本<= 2.15 使用的依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://ma
log4j2问题复现
weixin_44676079的博客
12-14 285
log4j2BUG
Apache Log4j2漏洞
四问四不知的博客
12-20 2495
序言 最近又爆出Apache Log4j2的大漏洞(CVE-2021-44228),很多使用了该框架的应用都受到了影响。影响范围极大,攻击者只需要向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器。 由于Log4j 是目前全球使用最广泛的Java日志框架之一。该漏洞还影响着很多开源组件,如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。因为该漏洞利用方式简单,一旦有攻击者利用该漏洞,就可以在目标服
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值