Log4j2史诗级漏洞来袭,影响Spring Boot应用,请自查!

标签: 前沿资讯 前沿资讯 log4j2 | 发表时间:2021-12-10 19:13 | 作者:
出处:https://blog.didispace.com/

1、漏洞简介

Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

2、漏洞危害

漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

3、漏洞编号

暂无

4、影响范围

Apache Log4j 2.x <= 2.14.1

5、修复措施

建议排查Java应用是否引入log4j-api , log4j-core 两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护 。

  • 升级Apache Log4j 2所有相关应用到最新的 log4j-2.15.0版本
  • 升级已知受影响的应用及组件,如:
    • spring-boot-strater-log4j2
    • Apache Solr
    • Apache Flink
    • Apache Druid

6、紧急缓解措施:

如果还来不及更新版本修复,可通过下面的方法紧急缓解问题

(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2) 修改配置:log4j2.formatMsgNoLookups=True
(3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

相关 [log4j2 史诗 漏洞] 推荐:

Log4j2史诗级漏洞来袭,影响Spring Boot应用,请自查!

- - 程序猿DD
Apache Log4j 2是一款优秀的Java日志框架. 该工具重写了Log4j框架,并且引入了大量丰富的特性. 该日志框架被大量用于业务系统开发,用来记录日志信息. 由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞. 漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞.

Apache Log4j2 远程代码执行漏洞处置手册 – 绿盟科技技术博客

- -
12月9日,绿盟科技CERT监测到网上披露Apache Log4j2 远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码. 漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护.

使用Log4jdbc-log4j2监听MyBatis中运行的SQL和Connection

- - CSDN博客数据库推荐文章
引言: 在项目中使用了MyBatis,一个比较苦恼的问题是无法看到执行的SQL的具体情况,所以,就找到了Log4jdbc-log4j2. 这个是一个基于jdbc层面的监听工具,可以监听对于数据库的主要操作,从而完美的查看到其中执行的操作. Log4jdbc-log4j2版本选择.      如果项目是基于Maven工具,则可以直接使用如下依赖,即可完美解决问题:.

logback VS log4j2 那些你注意不到的性能差距...

- - 掘金 后端
logback, log4j2 等都是非常优秀的日志框架, 在日常使用中,我们很少会关注去使用哪一个框架, 但其实这些日志框架在性能方面存在明显的差异. 尤其在生产环境中, 有时候日志的性能高低,很可能影响到机器的成本, 像一些大企业,如阿里、腾讯、字节等,一点点的性能优化,就能节省数百万的支出. 再次, 统一日志框架也是大厂常有的规范化的事情, 还可以便于后续的ETL流程, 因此,我们选一个日志框架,其实还是比较重要的.

你还在用 Logback?Log4j2 的异步性能已经无敌了,还不快试试

- - SegmentFault 最新的文章
Logback 算是 JAVA 里一个老牌的日志框架,从 06 年开始第一个版本,迭代至今也十几年了. 不过 logback 最近一个稳定版本还停留在 2017 年,好几年都没有更新;logback 的兄弟 slf4j 最近一个稳定版也是 2017 年,有点凉凉的意思. 而且 logback 的异步性能实在拉跨,功能简陋,配置又繁琐,远不及 Apache 的新一代日志框架 -.

Gmail发现安全漏洞

- Royce - Solidot
6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.

Linux 再爆提权漏洞

- dayu - Wow! Ubuntu
原文来自于 Vpsee: 利用 Linux 内核的多个安全漏洞获得 root 权限. 系统安全高手 Dan Rosenberg 发布了一段 C 程序,这段200多行的程序利用了 Linux Econet 协议的3个安全漏洞,可以导致本地帐号对系统进行拒绝服务或特权提升,也就是说一个普通用户可以通过运行这段程序后轻松获得 root shell,以下在 update 过的 Ubuntu 10.04 Server LTS 上测试通过:.

百度知道XSS漏洞

- - 博客园_首页
事情的起因是我一同学在百度知道上看到一个很奇怪的,正文带有连接的提问( 这里),正常来说,这种情况是不可能出现的. 我条件反射的想到了:XSS漏洞. 通过查看源代码,我马上发现了问题的根源:未结束的标签. 
帮我写一个能提取
pentesterlab xss漏洞分析

-  - JavaScript - Web前端 - ITeye博客

pentesterlab简介. pentesterlab官方定义自己是一个简单又十分有效学习渗透测试的演练平台. pentesterlab环境搭建. 官方提供了一个基于debian6的镜像,官网下载镜像,使用vmware建立一个虚拟机,启动即可. ps:官方文档建议做一个host绑定,方便后面使用.

[译]jboss漏洞利用

- - 互联网 - ITeye博客
原文地址:http://resources.infosecinstitute.com/jboss-exploitation/. JBoss Application Server是一个基于Jave EE的web应用服务器. 如果Jboss没有正确配置,它会允许攻击者进行各种恶意攻击. 由于JMX console可以通过端口8080远程访问,攻击者和恶意用户可以通过使用Jboss console中的DeploymentScanner功能部署他们自己的WAR(web archive)文件或shell脚本.