知名Java日志组件Log4j2爆出严重0 day漏洞,连我们客户都来问中招了没

今天早上醒来,知名的Java日志组件Apache Log4j2就刷爆了圈子。它被发现了一个0 Day漏洞,该Log4J2 漏洞可以让黑客通过日志记录远程执行代码(Remote Code Execution)。由于这个日志库被普遍使用,而这个漏洞又非常容易使用,所以造成的风险也非常严重,让人不得不提高防范。就连不懂代码的客户都来问系统是否存在这个问题。

受影响的版本

受本次漏洞影响的版本范围为Apache log4j2 2.0 - 2.14.1

安全版本

正式补丁版本2.15.0已发布,请立即升级。

临时补救措施

不是所有的应用和使用者都能及时升级到安全版本。目前也有临时的补救措施。

修改JVM参数,设置 。

在涉及漏洞的项目的类路径(classpath)下增加配置文件并增加配置项。

攻击原理

根据上面提供的攻击代码,攻击者可以通过JNDI来执行LDAP协议来注入一些非法的可执行代码。

攻击步骤

攻击者向漏洞服务器发起攻击请求。

服务器通过Log4j2记录攻击请求中包含的基于JNDILDAP的恶意负载,是攻击者控制的地址。

记录的恶意负载被触发,服务器通过JNDI向请求。

就可以在响应中添加一些恶意的可执行脚本,注入到服务器进程中,例如可执行的字节码。

攻击者执行恶意脚本。

漏洞执行测试

不要小看这个漏洞

因为的使用范围太广了,很多应用都中招了。

连Minecraft 游戏的PaperMC服务器都未能幸免。所以赶紧排查打补丁吧。

Minecraft PaperMC Log4j 漏洞

升级到最新版本的IDEA后Maven私仓挂了

2021-12-09

从Java 9 到 Java 17之Java 14

2021-12-07

相关文章