漏洞名称:Apache Log4j2远程代码执行漏洞 组件名称:Apache Log4j2 截止2021年12⽉10⽇,受影响的Apache log4j2版本: 2.0≤Apache Log4j<=2.15.0-rc1 漏洞类型:远程代码执行 综合评价: <利用难度>:容易,无需授权即可远程代码执行。 <威胁等级>:严重,能造成远程代码执行。
01 漏洞详情 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,⽆需进⾏特殊配置,即可触发远程代码执⾏。 02 影响范围 Apache Log4j2广泛地应用在中间件、开发框架、Web应用中。漏洞危害性高,涉及用户量较大,导致漏洞影响力巨大。 截止2021年12⽉10日,受影响的Apache log4j2版本: 2.0 <= Apache log4j2 <= 2.15.0-rc1 受影响的Java框架:
03 修复建议 1、项目中直接使用Apache Log4j2 升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2 版本,地址 : https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
修改pom.xml [AppleScript] 纯文本查看 复制代码 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.15.0-rc2</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.15.0-rc2</version> </dependency> </dependencies>
修改build.gradle [AppleScript] 纯文本查看 复制代码 dependencies { compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2' compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2' } 2、框架⼆次加载 Apache Log4j2 截止目前,第三方框架中使⽤Apache Log4j2的,⽐如srping-boot、Apache Struts2等,暂未发布最新修复版本。 只能使用临时方案进行修复。 ①在jvm启动参数中添加-Dlog4j2.formatMsgNoLookups=true
②系统环境变量中配置FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true
③项目中创建log4j2.component.properties文件,文件中增加配置log4j2.formatMsgNoLookups=true
④部署第三方防火墙产品。 04 应急支持 如需应急支持,请拨打客服电话。 应急响应联系电话:400-8818-293。 |
- [白帽子技术/思路] Apache Log4j2远程代码执行漏洞
- [SRC部落] 【翻倍奖励】平安产险108财神节活动,享双倍快乐!
- [SRC部落] 合合 ISRC | 2021年终狂欢!你们冲榜,我搬家底!
- [SRC部落] PSRC 11月奖励榜单 | Top1 月入4w+,厉害了!
- [SRC部落] 再获认可|安全狗8大项能力入选CCSIP 2021中国网络安全产业全景图
- [SRC部落] i春秋&微众银行SRC|双十二联合众测活动惊爆来袭,10倍超高奖励,燃爆2021!
- [白帽子技术/思路] 企业如何做好员工安全意识提升
- [白帽子技术/思路] SRC信息收集学习与自动化(二):CDN探测
- [白帽子技术/思路] SRC信息收集学习与自动化(一):开发基础知识巩固
漏洞名称:Apache Log4j2远程代码执行漏洞组件名称:Apache Log4j2截止2021年12⽉10⽇,受影响的Apache log4j2版本:2.0≤Apache Log4j<=2.15.0-rc1漏洞类型:远程代码执行综合评价:<利用难度>:容易,无需授权即可远程代码执行。<威胁等级>:严重,能造成远程代码执行。
Apache漏洞-900-383.jpg (54.68 KB, 下载次数: 0)
半小时前 上传
01 漏洞详情Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,⽆需进⾏特殊配置,即可触发远程代码执⾏。 02 影响范围Apache Log4j2广泛地应用在中间件、开发框架、Web应用中。漏洞危害性高,涉及用户量较大,导致漏洞影响力巨大。截止2021年12⽉10日,受影响的Apache log4j2版本:2.0 <= Apache log4j2 <= 2.15.0-rc1受影响的Java框架:
33.png (32.44 KB, 下载次数: 0)
半小时前 上传
03 修复建议1、项目中直接使用Apache Log4j2升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2 版本,地址 :https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2Apache Maven 版本修改pom.xml
<dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.15.0-rc2</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.15.0-rc2</version> </dependency> </dependencies>
<dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.15.0-rc2</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.15.0-rc2</version> </dependency> </dependencies>
[AppleScript] 纯文本查看 复制代码Gradle 版本
修改build.gradle
dependencies { compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2' compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2' }
dependencies { compile group: 'org.apache.logging.log4j', name: 'log4j-api', version: '2.15.0-rc2' compile group: 'org.apache.logging.log4j', name: 'log4j-core', version: '2.15.0-rc2' }
[AppleScript] 纯文本查看 复制代码2、框架⼆次加载 Apache Log4j2截止目前,第三方框架中使⽤Apache Log4j2的,⽐如srping-boot、Apache Struts2等,暂未发布最新修复版本。只能使用临时方案进行修复。①在jvm启动参数中添加-Dlog4j2.formatMsgNoLookups=true
image-20211210104531763.png (234.88 KB, 下载次数: 0)
半小时前 上传
②系统环境变量中配置FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true
image-20211210111942730.png (51.72 KB, 下载次数: 0)
半小时前 上传
③项目中创建log4j2.component.properties文件,文件中增加配置log4j2.formatMsgNoLookups=true
image-20211210104740394.png (52.95 KB, 下载次数: 0)
29 分钟前 上传
④部署第三方防火墙产品。04 应急支持如需应急支持,请拨打客服电话。应急响应联系电话:400-8818-293。本主题由 上官婉儿 于 25 分钟前 限时置顶
- [白帽子技术/思路] Apache Log4j2远程代码执行漏洞
- [SRC部落] 【翻倍奖励】平安产险108财神节活动,享双倍快乐!
- [SRC部落] 合合 ISRC | 2021年终狂欢!你们冲榜,我搬家底!
- [SRC部落] PSRC 11月奖励榜单 | Top1 月入4w+,厉害了!
- [SRC部落] 再获认可|安全狗8大项能力入选CCSIP 2021中国网络安全产业全景图
- [SRC部落] i春秋&微众银行SRC|双十二联合众测活动惊爆来袭,10倍超高奖励,燃爆2021!
- [白帽子技术/思路] 企业如何做好员工安全意识提升
- [白帽子技术/思路] SRC信息收集学习与自动化(二):CDN探测
- [白帽子技术/思路] SRC信息收集学习与自动化(一):开发基础知识巩固
- [白帽子技术/思路] Apache Log4j2远程代码执行漏洞
- [SRC部落] 【翻倍奖励】平安产险108财神节活动,享双倍快乐!
- [SRC部落] 合合 ISRC | 2021年终狂欢!你们冲榜,我搬家底!
- [SRC部落] PSRC 11月奖励榜单 | Top1 月入4w+,厉害了!
- [SRC部落] 再获认可|安全狗8大项能力入选CCSIP 2021中国网络安全产业全景图
- [SRC部落] i春秋&微众银行SRC|双十二联合众测活动惊爆来袭,10倍超高奖励,燃爆2021!
- [白帽子技术/思路] 企业如何做好员工安全意识提升
- [白帽子技术/思路] SRC信息收集学习与自动化(二):CDN探测
- [白帽子技术/思路] SRC信息收集学习与自动化(一):开发基础知识巩固
- [白帽子技术/思路] Apache Log4j2远程代码执行漏洞
- [SRC部落] 【翻倍奖励】平安产险108财神节活动,享双倍快乐!
- [SRC部落] 合合 ISRC | 2021年终狂欢!你们冲榜,我搬家底!
- [SRC部落] PSRC 11月奖励榜单 | Top1 月入4w+,厉害了!
- [SRC部落] 再获认可|安全狗8大项能力入选CCSIP 2021中国网络安全产业全景图
- [SRC部落] i春秋&微众银行SRC|双十二联合众测活动惊爆来袭,10倍超高奖励,燃爆2021!
- [白帽子技术/思路] 企业如何做好员工安全意识提升
- [白帽子技术/思路] SRC信息收集学习与自动化(二):CDN探测
- [白帽子技术/思路] SRC信息收集学习与自动化(一):开发基础知识巩固
新鲜发帖
Apache Log4j2 RCE 命令执行漏洞预警及修复方案
- [白帽子技术/思路] Apache Log4j2远程代码执行漏洞
- [SRC部落] i春秋&微众银行SRC|双十二联合众测活动惊爆来袭,10倍超高奖励,燃爆2021!
- [SRC部落] 合合 ISRC | 2021年终狂欢!你们冲榜,我搬家底!
- [白帽子技术/思路] SRC信息收集学习与自动化(一):开发基础知识巩固
- [SRC部落] ZSRC年终答谢活动,感恩有你!
- [白帽子技术/思路] SRC信息收集学习与自动化(二):CDN探测
- [白帽子技术/思路] 企业如何做好员工安全意识提升
- [白帽子技术/思路] CVE-2021-40444漏洞复现
- [白帽子技术/思路] 重构PHP文件读取和反序列化
新鲜跟帖
Apache Log4j2 RCE 命令执行漏洞预警及修复方案
升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2 版本 |