一、漏洞

近期一个 Apache Log4j 远程代码执行漏洞细节被公开，攻击者利用漏洞可以远程执行代码。经过分析，该组件存在Java JNDI注入漏洞，当程序将用户输入的数据进行日志，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

经有关安全团队验证，漏洞利用无需特殊配置，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响，鉴于此漏洞危害巨大，利用门槛极低，建议用户尽快参考缓解方案阻止漏洞攻击。

本次远程代码执行漏洞正是由于组件存在 Java JNDI 注入漏洞：当程序将用户输入的数据记录到日志时，攻击者通过构造特殊请求，来触发 Apache Log4j2 中的远程代码执行漏洞，从而利用此漏洞在目标服务器上执行任意代码。

参考链接：https://github.com/apache/logging-log4j2

二、修复漏洞

2.1 SpringMVC项目修复

普通Spring项目 log4j2 漏洞修复，如下设置：

……
<!--排除非安全log4j包；对应的log4j包修改为2.15.0 -->
<dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.15.0</version>
</dependency>
<dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.15.0</version>
</dependency>
……

2.2 SpringBoot项目修复

SpringBoot 项目 log4j2 漏洞修复，只需如下设置：

<properties><java.version>1.8</java.version><log4j2.version>2.15.0</log4j2.version>
</properties>

三、如何攻击漏洞

参考：https://blog.csdn.net/qing_gee/article/details/121885927?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link

参考博客：https://blog.csdn.net/gupaoedu_tom/article/details/121891238

http://blog.topsec.com.cn/java-jndi%E6%B3%A8%E5%85%A5%E7%9F%A5%E8%AF%86%E8%AF%A6%E8%A7%A3/

Log4j2漏洞修复相关推荐

1. log4j2漏洞简单复现

   文章目录 0x1 log4j2漏洞简介 0x2 log4j2漏洞验证判断 0x3log4j2漏洞复现利用 0x04 log4j2漏洞修复方式 0x1 log4j2漏洞简介 log4j2原理: log4 ...

2. 使用云效Codeup10分钟紧急修复Apache Log4j2漏洞

   简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4 ...

3. 千万别中招！手把手教你复现Log4j2漏洞!

   来源:https://blog.csdn.net/qq_40989258/article/details/121862363 | 简介 ApacheLog4j2是一个开源的Java日志框架,被广泛地应 ...

4. 解决log4j2漏洞遭到挖矿、僵尸进程病毒攻击

   1.前因 在2019年12月份,爆出来的log4j2漏洞,当时可谓满城风雨.当时自己的一个框架刚好从log4j升级到log4j2.按照当时的方案,临时做了修复,但终究还是抵不过残酷的现实,该来的始终还 ...

5. PHP、Node、Ruby和Python应用，漏洞修复

   12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,作为当前全球使用最广泛的 java 日志框架之一.该漏洞影响着很多全球使用量前列的开源组件,如 Apache ...

6. Log4j执行漏洞修复教程

   12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重. Log4j2 是一个基于 Java 的日志记录工具.它重写了 Log4j 框架,引入 ...

7. Log4j2漏洞发展历程及解决方案

   背景 最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了.同时也涌现出了各类分析文章,关于漏洞的版本.漏洞的原因.漏洞的修复.程序员因此加班等等. 经常看我文章的朋友都知道,面对这样热门有意思的技 ...

8. 再严重的 Log4j2 漏洞也伤害不了 Java

   点击上方"程序猿技术大咖",关注并选择"设为星标" 回复"加群"获取入群讨论资格! 作者丨Erik Costlow 译者丨核子可乐李冬梅 来 ...

9. 一问三不知之log4j2漏洞简析

   1.log4j2漏洞介绍 1.1简介 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback架构 ...

最新文章

1. pycharm使用anaconda管理环境的设置实践
2. Nexus.js介绍：一个多线程的JavaScript运行库
3. Waymo首次公开自动驾驶技术：让AI学会「危机想象力」
4. PHP获取重定向URL的几种方法
5. Delphi使用Indy、ICS组件读取网页
6. PHP生成随机数；订单号唯一
7. 微积分经典概念：极限、连续与函数
8. ElasticSearch 查询最多10000条数据
9. c语言入门到精通怎么能少了这7本书籍？
10. 速锐得整车CAN网络控制策略数据解析方案
11. Camtasia给视频加马赛克怎么操作？
12. java计算机毕业设计基于web旅游网站的设计与实现源码+数据库+系统+lw文档+mybatis+运行部署
13. 解决qt.qpa.plugin: Could not load the Qt platform plugin “xcb“问题
14. unity3d游戏资源提取
15. Eclipse设置护眼(绿豆沙)颜色
16. 滴滴裁员 多一个月补偿反转苦情戏
17. D - 一只小蜜蜂...
18. 做电商不一定要有团队，兼职宝妈也能玩转无货源电商
19. Java3D加载obj文件+mtl文件
20. 动手实验 CVE-2010-3333 Microsoft RTF栈溢出漏洞

热门文章

1. 这5个超好用的免费网站，你一定要知道
2. edid 工具获取hdmi_Hdmi edid 数据解析
3. java 判断汉字音调_Java中汉字转拼音pinyin4j用法实例分析
4. 计算机毕业设计ssm动物防疫信息管理
5. Codeforces Round #441 (Div. 1, by Moscow Team Olympiad) C. National Property CF875C
6. openface命令行参数使用介绍
7. docker + openface进行人脸识别（初探）
8. openface搭建
9. Openface（二）：实现人脸对齐
10. 【转】MaskedTextBox总结