正文 

当前位置: 首页 > IT > java教程

log4j曝核弹级漏洞,一行配置修复,速改(代码片段)

Resourceful! Resourceful!     2023-02-24     641

关键词:

紧急!Log4j 曝核弹级漏洞;一行配置修复,速改!

目录

周末快乐呀!不过看完这个,你可能就快乐不起来了,说不定还得加个班儿呢!

昨天(周五),一如既往的重复着每天的搬砖日常,突然又收到了公众号【阿里云应急响应】紧急更新通告;为啥说呢?因为在10个小时之前,已经推送过一次了;

本来以为只是再次提醒一下,仔细一看,发现是在短时间内爆出了连环漏洞;看样子挺严重的,立马放下手中的其他事情,重点关注了一下;

漏洞曝光的主要目的是提醒使用者尽快修复,但同时也让那些不法份子知道了漏洞的存在,所以这种严重漏洞一定要引起重视!

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击

漏洞评级

严重

漏洞细节漏洞PoC漏洞EXP在野利用
公开公开公开存在

影响版本

Apache Log4j 2.x < 2.15.0

Spring Boot最简修复方式

有小伙伴希望能通过Spring Boot的Starter快速解决,还给Spring Boot提了Issue,希望spring-boot-starter-log4j2能支持2.15的版本

截至目前,log4j最新的release版本2.15.0已经上线;

Spring Boot项目只需要在pom.xml文件添加一行配置解决

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

本次漏洞影响范围

已知受影响应用及组件

  • Apache Solr

  • Apache Struts2

  • Apache Flink

  • Apache Druid

  • srping-boot-strater-log4j2

  • Apache Dubbo

  • Apache Kafka

  • ElasticSearch

  • Redis

  • Logstash

漏洞排查方式

  1. 解压Jar包,看是否存在org/apache/logging/log4j相关结构路径

  2. 依赖检查,看是否存在以下依赖,并升级至log4j-2.15.0及以上

    <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.15.0</version>
</dependency>

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.15.0</version>
</dependency>

  3. 检查日志

    攻击者在利用前通常采用dnslog方式进行扫描、探测,常见的漏洞利用方式可通过应用系统报错日志中的”javax.naming.CommunicationException”、”javax.naming.NamingException: problem generating object using object factory”、”Error looking up JNDI resource”关键字进行排查。

  4. 数据包

    攻击者发送的数据包中可能存在”$jndi:” 字样,推荐使用全流量或WAF设备进行检索排查。

其他处理方式

  1. 若无必要,禁止业务对外网暴露
  2. 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”
  3. 在设置“log4j2.formatMsgNoLookups=True”
  4. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”
  5. 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

声明

本安全公告仅用来描述可能存在的安全问题,本博主不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责;作者不为此承担任何责任。

log4j被曝核弹级漏洞,开发者炸锅(代码片段)

...个漏洞的影响范围有多大,甚至被很多媒体称之为“核弹级”漏洞!在漏洞被曝光之后,第一时间做出行动的不是无辜躺枪的程序员们,而是那些坏的一批的小子们。据说,在漏洞被公开的第一天,就发生... 查看详情

log4j被曝核弹级漏洞,开发者炸锅(代码片段)

...个漏洞的影响范围有多大,甚至被很多媒体称之为“核弹级”漏洞!在漏洞被曝光之后,第一时间做出行动的不是无辜躺枪的程序员们,而是那些坏的一批的小子们。据说,在漏洞被公开的第一天,就发生... 查看详情

一行配置解决springboot项目的log4j2核弹漏洞(代码片段)

相信昨天,很多小伙伴都因为Log4j2的史诗级漏洞忙翻了吧?看到群里还有小伙伴说公司里还特别建了800+人的群在处理…好在很快就有了缓解措施和解决方案。同时,log4j2官方也是速度影响发布了最新的修复版本。... 查看详情

一行配置解决springboot项目的log4j2核弹漏洞(代码片段)

相信昨天,很多小伙伴都因为Log4j2的史诗级漏洞忙翻了吧?看到群里还有小伙伴说公司里还特别建了800+人的群在处理…好在很快就有了缓解措施和解决方案。同时,log4j2官方也是速度影响发布了最新的修复版本。... 查看详情

最新:log4j2.x再发版,正式解决核弹级漏洞,又要熬夜了。。。(代码片段)

背景这几天为了应对《突发!ApacheLog4j2报核弹级漏洞。。赶紧修复!!》,Log4j2连续发布了两个RC(ReleaseCandidate)候选版本。在第一次的RC1候选版本中,Log4j2还存在漏洞绕过风险,官方随后又发布... 查看详情

一行配置搞定springboot项目的log4j2核弹漏洞!

相信昨天,很多小伙伴都因为“Log4j2的史诗级漏洞”忙翻了吧?看到群里还有小伙伴说公司里还特别建了800+人的群在处理...好在很快就有了缓解措施和解决方案。同时,log4j2官方也是速度影响发布了最新的修复版... 查看详情

一行配置搞定springboot项目的log4j2核弹漏洞!

相信昨天,很多小伙伴都因为Log4j2的史诗级漏洞忙翻了吧?看到群里还有小伙伴说公司里还特别建了800+人的群在处理...好在很快就有了缓解措施和解决方案。同时,log4j2官方也是速度影响发布了最新的修复版本。... 查看详情

突发。。apachelog4j2报核弹级漏洞。。赶紧修复。。

ApacheLog4j2报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??ApacheLog4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j1.x基础上提供了Logback中可用... 查看详情

突发!apachelog4j2报核弹级漏洞。。赶紧修复!!

点击关注公众号,Java干货及时送达ApacheLog4j2报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??ApacheLog4j2是一个基于Java的日志记录工具,是Log4j的升级,在... 查看详情

腾讯安全刚刚给出了log4j2核弹级漏洞线上修复方案!紧急修复

参考技术A2月9日晚,ApacheLog4j2反序列化远程代码执行漏洞细节已被公开,ApacheLog4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。ApacheLog4j2... 查看详情

log4j爆“核弹级”漏洞,flink、kafka等至少十多个项目受影响

参考技术A作者|褚杏娟昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。据悉,ApacheLog4j2.x 查看详情

1214最新!log4j再发版,彻底斩断核弹级漏洞,又要熬夜了。。。

...货及时送达背景这几天为了应对《突发!ApacheLog4j2报核弹级漏洞。。赶紧修复!!》,Log4j2连续发布了两个RC(ReleaseCandidate)候选版本,1个正式版本。在第一次的RC1候选版本中,Log4j2还存在漏洞绕... 查看详情

1214最新:log4j再发版,彻底斩断核弹级漏洞,又要熬夜了。。。

背景这几天为了应对《突发!ApacheLog4j2报核弹级漏洞。。赶紧修复!!》,Log4j2连续发布了两个RC(ReleaseCandidate)候选版本,1个正式版本。在第一次的RC1候选版本中,Log4j2还存在漏洞绕过风险,... 查看详情

最新!log4j2.x再发版,正式解决核弹级漏洞,又要熬夜了。。。

...,Java干货及时送达背景这几天为了应对《ApacheLog4j2报核弹级漏洞》,Log4j2连续发布了两个RC(ReleaseCandidate)候选版本。在第一次的RC1候选版本中,Log4j2还存在漏洞绕过风险,官方随后又发布了RC2,现在... 查看详情

javalog4j2核弹级漏洞原理和分析(代码片段)

1.概述转载:log4j2核弹级漏洞原理和分析并且补充。2.漏洞是怎么发现的?3.漏洞问题重现依赖如下<dependencies><!--https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core--><dependency><groupId>org.apache.logging.log4j&... 查看详情

重磅!log4j爆“核弹级”漏洞,flinkkafka等至少十多个项目受影响

 点击上方关注“终端研发部”设为“星标”,和你一起掌握更多数据库知识作者|褚杏娟  昨晚,你熬夜应急了吗?  昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代... 查看详情

突发!log4j爆“核弹级”漏洞,flinkkafka等至少十多个项目受影响

点击机器学习算法与Python学习,选择加星标精彩内容不迷路本文来自InfoQ昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,... 查看详情

突发!log4j爆“核弹级”漏洞,flinkkafka等至少十多个项目受影响

作者|褚杏娟  这两天,你熬夜应急了吗?  昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,该漏洞一旦被攻击者利... 查看详情