Log4j2漏洞修复
文章目录
- 一、漏洞
- 二、修复漏洞
- 2.1 SpringMVC项目修复
- 2.2 SpringBoot项目修复
- 三、如何攻击漏洞
一、漏洞
近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
经有关安全团队验证,漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,建议用户尽快参考缓解方案阻止漏洞攻击。
本次远程代码执行漏洞正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记录到日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。
参考链接:https://github.com/apache/logging-log4j2
二、修复漏洞
2.1 SpringMVC项目修复
普通Spring项目 log4j2 漏洞修复,如下设置:
……
<!--排除非安全log4j包;对应的log4j包修改为2.15.0 -->
<dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.15.0</version>
</dependency>
<dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.15.0</version>
</dependency>
……
2.2 SpringBoot项目修复
SpringBoot 项目 log4j2 漏洞修复,只需如下设置:
<properties><java.version>1.8</java.version><log4j2.version>2.15.0</log4j2.version>
</properties>
三、如何攻击漏洞
参考:https://blog.csdn.net/qing_gee/article/details/121885927?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link
参考博客:https://blog.csdn.net/gupaoedu_tom/article/details/121891238
http://blog.topsec.com.cn/java-jndi%E6%B3%A8%E5%85%A5%E7%9F%A5%E8%AF%86%E8%AF%A6%E8%A7%A3/
Log4j2漏洞修复相关推荐
- log4j2漏洞简单复现
文章目录 0x1 log4j2漏洞简介 0x2 log4j2漏洞验证判断 0x3log4j2漏洞复现利用 0x04 log4j2漏洞修复方式 0x1 log4j2漏洞简介 log4j2原理: log4 ...
- 使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4 ...
- 千万别中招!手把手教你复现Log4j2漏洞!
来源:https://blog.csdn.net/qq_40989258/article/details/121862363 | 简介 ApacheLog4j2是一个开源的Java日志框架,被广泛地应 ...
- 解决log4j2漏洞遭到挖矿、僵尸进程病毒攻击
1.前因 在2019年12月份,爆出来的log4j2漏洞,当时可谓满城风雨.当时自己的一个框架刚好从log4j升级到log4j2.按照当时的方案,临时做了修复,但终究还是抵不过残酷的现实,该来的始终还 ...
- PHP、Node、Ruby和Python应用,漏洞修复
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,作为当前全球使用最广泛的 java 日志框架之一.该漏洞影响着很多全球使用量前列的开源组件,如 Apache ...
- Log4j执行漏洞修复教程
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重. Log4j2 是一个基于 Java 的日志记录工具.它重写了 Log4j 框架,引入 ...
- Log4j2漏洞发展历程及解决方案
背景 最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了.同时也涌现出了各类分析文章,关于漏洞的版本.漏洞的原因.漏洞的修复.程序员因此加班等等. 经常看我文章的朋友都知道,面对这样热门有意思的技 ...
- 再严重的 Log4j2 漏洞也伤害不了 Java
点击上方"程序猿技术大咖",关注并选择"设为星标" 回复"加群"获取入群讨论资格! 作者丨Erik Costlow 译者丨核子可乐李冬梅 来 ...
- 一问三不知之log4j2漏洞简析
1.log4j2漏洞介绍 1.1简介 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback架构 ...
最新文章
- pycharm使用anaconda管理环境的设置实践
- Nexus.js介绍:一个多线程的JavaScript运行库
- Waymo首次公开自动驾驶技术:让AI学会「危机想象力」
- PHP获取重定向URL的几种方法
- Delphi使用Indy、ICS组件读取网页
- PHP生成随机数;订单号唯一
- 微积分经典概念:极限、连续与函数
- ElasticSearch 查询最多10000条数据
- c语言入门到精通怎么能少了这7本书籍?
- 速锐得整车CAN网络控制策略数据解析方案
- Camtasia给视频加马赛克怎么操作?
- java计算机毕业设计基于web旅游网站的设计与实现源码+数据库+系统+lw文档+mybatis+运行部署
- 解决qt.qpa.plugin: Could not load the Qt platform plugin “xcb“问题
- unity3d游戏资源提取
- Eclipse设置护眼(绿豆沙)颜色
- 滴滴裁员 多一个月补偿反转苦情戏
- D - 一只小蜜蜂...
- 做电商不一定要有团队,兼职宝妈也能玩转无货源电商
- Java3D加载obj文件+mtl文件
- 动手实验 CVE-2010-3333 Microsoft RTF栈溢出漏洞
热门文章
- 这5个超好用的免费网站,你一定要知道
- edid 工具获取hdmi_Hdmi edid 数据解析
- java 判断汉字音调_Java中汉字转拼音pinyin4j用法实例分析
- 计算机毕业设计ssm动物防疫信息管理
- Codeforces Round #441 (Div. 1, by Moscow Team Olympiad) C. National Property CF875C
- openface命令行参数使用介绍
- docker + openface进行人脸识别(初探)
- openface搭建
- Openface(二):实现人脸对齐
- 【转】MaskedTextBox总结