Log4j2漏洞修复

Log4j2漏洞修复

文章目录

• • 一、漏洞
  • 二、修复漏洞
  • • 2.1 SpringMVC项目修复
    • 2.2 SpringBoot项目修复
  • 三、如何攻击漏洞

一、漏洞

近期一个 Apache Log4j 远程代码执行漏洞细节被公开，攻击者利用漏洞可以远程执行代码。经过分析，该组件存在Java JNDI注入漏洞，当程序将用户输入的数据进行日志，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

经有关安全团队验证，漏洞利用无需特殊配置，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响，鉴于此漏洞危害巨大，利用门槛极低，建议用户尽快参考缓解方案阻止漏洞攻击。

本次远程代码执行漏洞正是由于组件存在 Java JNDI 注入漏洞：当程序将用户输入的数据记录到日志时，攻击者通过构造特殊请求，来触发 Apache Log4j2 中的远程代码执行漏洞，从而利用此漏洞在目标服务器上执行任意代码。

参考链接：https://github.com/apache/logging-log4j2

二、修复漏洞 2.1 SpringMVC项目修复

普通Spring项目 log4j2 漏洞修复，如下设置：

……


   org.apache.logging.log4j
   log4j-core
   2.15.0


   org.apache.logging.log4j
   log4j-api
   2.15.0

……

2.2 SpringBoot项目修复

SpringBoot 项目 log4j2 漏洞修复，只需如下设置：

    1.8
    2.15.0

三、如何攻击漏洞

参考：https://blog.csdn.net/qing_gee/article/details/121885927?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link

参考博客：https://blog.csdn.net/gupaoedu_tom/article/details/121891238

http://blog.topsec.com.cn/java-jndi%E6%B3%A8%E5%85%A5%E7%9F%A5%E8%AF%86%E8%AF%A6%E8%A7%A3/