关键词:
全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞,攻击者可以利用该漏洞远程执行恶意代码。据阿里云通报,由Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
该漏洞于12月7日由游戏平台Minecraft用户在网上曝光,据称黑客可以通过操作日志消息(甚至在聊天信息中键入内容),并且还可以在Minecraft服务器端执行恶意代码。Apache log4j官方在7日当天便发布2.15.0-rc1版本以修复漏洞,随后,阿里云、斗象科技、绿盟科技、默安科技、奇安信等安全厂商发布危害通报。
目前受漏洞影响的主要是Apache Log4j 2.x <= log4j-2.15.0-rc1版本,当用户使用Apache Log4j2来处理日志时,漏洞会对用户输入的内容进行特殊处理,攻击者便可以在Apache Log4j2中构造特殊请求来触发远程代码执行。
如何判断是否受影响,开发者只需排查在Java应用中是否引入log4j-api, log4j-core两个jar文件,若存在,建议立即进行安全排查,采取防护措施。
如果我们的项目是基于maven的spring boot项目。查看项目依赖中是否存在log4j-api, log4j-core的依赖即可。
目录
1.打开依赖树
发现我们引用的log4j-api是2.13.3版本。
2.查看log4j-api依赖
发现是log4j-to-slf4j依赖了log4j-api。首先排除log4j-to-slf4j,引入最新版试试。
3.排除log4j-to-slf4j
发现引入的log4j-api依旧是2.13.3版本。那么,我们要排除log4j-api,引入最新版。
4.排除log4j-api
发现引入的log4j-api最新版本是2.15.0版本。成功。
项目打包后,查看lib里面的jar版本:
5.排除依赖的代码
<!-- 排除log4j-api,引入最新log4j-api -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-logging</artifactId>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
</exclusion>
</exclusions>
<version>2.15.0</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.15.0</version>
</dependency>
<!-- 排除log4j-api,引入最新log4j-api END-->
史诗级漏洞爆发,log4j背后的开源人何去何从?
...前所未有的高度。然而,上周全球知名开源日志组件ApacheLog4j2被曝严重高危漏洞的事件,撕开了“开源”光鲜亮丽的外表,将部分残忍的真实现状公诸于世:无数开源项目维护者困于生存压力,只能在身兼全... 查看详情
log4j被曝核弹级漏洞,开发者炸锅(代码片段)
...家好,我是鱼皮,开门见山,知名的开源项目ApacheLog4j出事了!2021年12月9日,该项目被曝存在严重安全漏洞,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码... 查看详情
log4j被曝核弹级漏洞,开发者炸锅(代码片段)
...家好,我是鱼皮,开门见山,知名的开源项目ApacheLog4j出事了!2021年12月9日,该项目被曝存在严重安全漏洞,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码... 查看详情
log4j被曝核弹级漏洞,开发者炸锅(代码片段)
...家好,我是鱼皮,开门见山,知名的开源项目ApacheLog4j出事了!2021年12月9日,该项目被曝存在严重安全漏洞,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码... 查看详情
让java界无人入眠的「核弹级」「史诗级」漏洞,我却看到了不一样
...f0c;该漏洞一旦被攻击者利用会造成严重危害。据悉,ApacheLog4j2.x<=2.14.1版本均会受到影响。根据“微步在线研究响应中心”消息,可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、ApacheStruts2、ApacheSolr、Apach... 查看详情
apachelog4j爆“核弹级“漏洞,对众多java应用平台造成影响,已发现近万次攻击
...无法估量的危害近日,一个受到全球广泛使用的组件ApacheLog4j被曝出现一个可利用的高危漏洞。攻击者只需要一段代码就可以远程控制受害者的服务器。触发条件为外部用户输入的数据会被日志记录,造成远程代码执行。... 查看详情
apachelog4j爆“核弹级“漏洞,对众多java应用平台造成影响,已发现近万次攻击
...无法估量的危害近日,一个受到全球广泛使用的组件ApacheLog4j被曝出现一个可利用的高危漏洞。攻击者只需要一段代码就可以远程控制受害者的服务器。触发条件为外部用户输入的数据会被日志记录,造成远程代码执行。... 查看详情
log4j史诗级漏洞,我们这些小公司能做些什么?(代码片段)
...看到阿里云安全、腾讯安全部门发出的官方报告:”ApacheLog4j2存在远程代码执行漏洞“,且漏洞已对外公开。看到相关消息,马上爬起来把所有项目的日志系统过滤一遍,还好老项目采用的log4j,新项目采用的... 查看详情
分析并复现apache核弹级漏洞,利用log4j2使目标服务器执行任意代码(代码片段)
12月9日晚间,ApacheLog4j2被曝光存在严重漏洞,可以随意执行任意远程代码,本贴将详细分析事故原因及实战复现此漏洞!一.事件详情1.事件经过2021年12月9日,国内多家机构监测到Apachelog4j存在任意代码执行漏... 查看详情
中国程序员抢先预警「史诗」级漏洞,席卷苹果特斯拉
...xff0c;都起来通宵加班处理漏洞了。中国程序员抢先预警「史诗」级漏洞,席卷苹果特斯拉这个漏洞波及了多少大厂呢?由于Log4j2这个库实在是太受欢迎了,所以包括苹果、Tesla、亚马逊、Cloudflare、ElasticSearch、RedHat、Tw... 查看详情
apachelog4j2-jndirce漏洞攻击保姆级教程(仅供测试请勿攻击他人)(代码片段)
ApacheLog4j2-JNDIRCE漏洞攻击保姆级教程(仅供测试请勿攻击他人)文章目录ApacheLog4j2-JNDIRCE漏洞攻击保姆级教程(仅供测试请勿攻击他人)一、前言二、被攻击端三、攻击端1.JNDIRCE漏洞嗅探2.编写恶意代码并编译3.搭... 查看详情
log4j曝核弹级漏洞,一行配置修复,速改(代码片段)
紧急!Log4j曝核弹级漏洞;一行配置修复,速改!目录紧急!Log4j曝核弹级漏洞;一行配置修复,速改!漏洞描述漏洞评级影响版本SpringBoot最简修复方式本次漏洞影响范围已知受影响应用及组件漏洞... 查看详情
log4j史诗级漏洞,我们这些小公司能做些什么?(代码片段)
事件背景12月10日,看到朋友圈中已经有人在通宵修改、上线系统了。随即,又看到阿里云安全、腾讯安全部门发出的官方报告:”ApacheLog4j2存在远程代码执行漏洞“,且漏洞已对外公开。看到相关消息,马上... 查看详情
腾讯安全刚刚给出了log4j2核弹级漏洞线上修复方案!紧急修复
参考技术A2月9日晚,ApacheLog4j2反序列化远程代码执行漏洞细节已被公开,ApacheLog4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。ApacheLog4j2... 查看详情
log4j爆核弹级漏洞,大厂中招公司炸锅了...(代码片段)
...都忙疯了,因为只要是Java程序员,几乎都会用到ApacheLog4j这个组建。但这个组建却爆出来一个史诗级的Bug。1ApacheLog4jApacheLog4j2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框... 查看详情
log4j2史诗级漏洞攻击重现(代码片段)
早上来到公司,就听到安全团队的同事说log4j2有个高危漏洞起初并不是很在意,想着一个日志框架能有啥高危漏洞嘛但是仔细一看,居然是远程执行命令的漏洞,上次看到这个名字还是struts2。。。修复方法也很简... 查看详情
apachelog4j爆核弹级漏洞,springboot默认日志框架就能完美躲过!!
...沸扬扬的Log4j2漏洞门事件炒得热火朝天:突发!ApacheLog4j2报核弹级漏洞。。赶紧修复!!如果你使用的是Log4j1.x、Logback或者其他日志框架,这次就可以幸免于难。Log4j1.x就不用说了,这是老古董了,也... 查看详情
apachelog4j爆核弹级漏洞,springboot默认日志框架就能完美躲过。。。
...沸扬扬的Log4j2漏洞门事件炒得热火朝天:突发!ApacheLog4j2报核弹级漏洞。。赶紧修复!!如果你使用的是Log4j1.x、Logback或者其他日志框架,这次就可以幸免于难。Log4j1.x就不用说了,这是老古董了,也... 查看详情