Log4j远程代码执行漏洞
文章目录
- Log4j远程代码执行漏洞
-
- 实验准备
- 实验步骤
-
- 搭建环境
- 漏洞利用示例
- 漏洞修复建议
- 参考链接
实验准备
-
所选漏洞:Apache Log4j远程代码执行漏洞
-
漏洞编号:CVE-2021-44228
-
漏洞选择理由:Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程,是构成apache服务的重要组件。
2021年12月9日,阿里云安全团队向apache报告了Log4j-2.14.1中存在JNDI注入漏洞,提出了由log4j日志引起的远程代码执行问题。当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。该漏洞影响 Apache Struts、Apache Solr、Apache Druid、Apache Filnk等众多组件,漏洞影响面极大,甚至可以说完全不使用这些组件构建的服务几乎没有,危害性极高,许多互联网大型厂商的程序员被迫凌晨起床进行应急响应。
因为该漏洞存在范围极广、利用难度又很低,导致大量白帽在漏洞发布的第二天利用此漏洞大量刷取src,其数量之多以至于让部分src平台宣布暂时停止收类似该漏洞。
log4j官方也随之紧急公布了新的稳定版本,连发三代,从 log4j 2.15.0 开始,默认情况下已禁用JNDI功能,但是仍有可能被绕过;从版本 2.16.0(以及 2.12.2、2.12.3 和 2.3.1)开始,此功能已被完全删除。直到12月28日晚上发布的 2.17.1版本基本堵死被曝光的漏洞,这次事件才算告一段落。 -
威胁类型
远程代码执行
-
威胁等级
NVD以CVSS v3.1标准计算得分10.0,顶满了的极危漏洞
-
CVE-2021-44228受影响系统及应用版本
Apache Log4j2 2.0-beta9 到 2.15.0&#
最后
以上就是坚定大船最近收集整理的关于Log4j远程代码执行漏洞复现尝试Log4j远程代码执行漏洞的全部内容,更多相关Log4j远程代码执行漏洞复现尝试Log4j远程代码执行漏洞内容请搜索靠谱客的其他文章。
发表评论 取消回复