聊一聊Log4j漏洞问题

简介: 跟个风,聊一聊Log4j漏洞

image.png

安全漏洞介绍

Apache Log4j2是一款优秀的Java日志框架。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置。

通过网上公开资料,这个漏洞的细节已经完全公开

  • CVE-2017-5645:Apache Log4j 套接字接收器反序列化漏洞(严重 - 中等)
  • CVE-2020-9488:Apache Log4j SMTP 附加程序中主机不匹配的证书验证不正确(严重性 - 低)
  • CVE-2021-44228:Apache Log4j2 JNDI 功能无法防止攻击者控制的 LDAP 和其他与 JNDI 相关的端点(严重性 - 严重)
  • CVE-2021-45046:Apache Log4j2 线程上下文查找模式在某些非默认配置中容易受到远程代码执行的影响(严重性 - 严重)
  • CVE-2021-45105:Apache Log4j2 并不总是能防止查找评估中的无限递归(严重性 - 严重)
  • CVE-2021-44832:当攻击者控制配置时,Apache Log4j2 容易通过 JDBC Appender 受到 RCE 的攻击(严重性 - 中等)

检测代码库中是否有 Log4j 2.x

在idea的插件市场搜索Maven Helper关键字,找到Maven Helper并安装
安装了Maven Helper以后,打开pom文件,左下角出现依赖器分析栏目
image.png

安全建议

如果您使用的是 Apache Log4j 库,请确保更新到最新版本,因为上面列出的安全漏洞已被修补。这是目前最好的衡量标准。
升级到 Log4j 2.3.2(适用于 Java 6)、2.12.4(适用于 Java 7)或 2.17.1 或最新版本(适用于 Java 8 及更高版本)

目录
相关文章
|
安全 Java 开发者
刚折腾完Log4J,又爆Spring RCE核弹级漏洞
继Log4J爆出安全漏洞之后,又在深夜,Spring的github上又更新了一条可能造成RCE(远程命令执行漏洞)的问题代码,随即在国内的安全圈炸开了锅。有安全专家建议升级到JDK 9以上,有些专家又建议回滚到JDK 7以下,一时间小伙伴们不知道该怎么办了。大家来看一段动画演示,怎么改都是“将军"。
117 1
|
运维 安全 Java
Log4j2 远程代码执行漏洞——总结
前两天网络有爆料log4j安全漏洞,安全大于天,于是也加入到这个和时间赛跑的临时事件中。对于安全漏洞网上有很多文章,内容都大同小异,不过针对于这件事小编下面的故事一定能让读者有"意外"收获。
|
安全 Java Shell
Apache Log4j2 远程代码执行漏洞
Apache Log4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。
102 2
|
安全 druid Java
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
360 1
|
安全 Java 大数据
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
|
安全 网络协议 Java
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变,小白也能看懂
经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。
619 0
|
Kubernetes 安全 中间件
Traefik 如何保护应用免受 Log4j2 漏洞的影响
2021 年 12 月 10 日,Apache Log4j2 中的一个被称为 “Log4Shell” 的漏洞被发布(CVE-2021-44228),引入了严重的安全风险。作为 Java 应用程序日志库中的一个核心组件,其广泛用于著名的开源项目以及企业级后端应用程序。在本文中,我们将向您展示 Traefik 如何基于插件系统帮助我们的业务缓解此问题。
150 0
|
JSON 安全 Java
使用goby检测log4j漏洞
使用goby检测log4j漏洞
|
安全 Java fastjson
Log4J 漏洞复现+漏洞靶场
Log4J 漏洞复现+漏洞靶场
|
安全 Java Shell
一次简单的log4j漏洞测试
一次简单的log4j漏洞测试
475 0