技术圈首页
程序员
解决方案
聚合短信
APP下载
登录
注册
首页
文章详情
平台日志架构说明log4j漏洞问题解析
电商程序员
|
206
2021-12-17 10:03
0
0
0
Log4j是
Apache
的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是
控制台
、文件、
GUI
组件,甚至是套接口服务器、
NT
的事件记录器、
UNIX
Syslog
守护进程
等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个
配置文件
来灵活地进行配置,而不需要修改应用的代码。
日志是应用软件中不可缺少的部分,Apache的开源项目
log4j
是一个功能强大的日志组件,提供方便的日志记录。
漏洞原理官方表述是:Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词
${
,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行。
漏洞检测方案
1、通过流量监测设备监控是否有相关 DNSLog 域名的请求
2、通过监测相关日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。
漏洞修复方案
Apache 官方已经发布了测试补丁,中招的用户赶紧升级最新的安全版本吧,
补丁下载:
github.com/apache/loggi
最近我们公司还是扫描了一下这个玩意,顺便搞了一下ES的漏洞,真是太难了,本来搞个理财开发就挺累的啦!
时候不早了,我们下期见!
0
赞
0
收藏
×
添加附言
附加内容, 使用此功能的话, 会给所有参加过讨论的人发送提醒.
回复数量:
0
暂无评论~~
请注意单词拼写,以及中英文排版,
参考此页
支持 Markdown 格式,
**粗体**
、~~删除线~~、
`单行代码`
, 更多语法请见这里
Markdown 语法
支持表情,见
Emoji cheat sheet
@name 会链接到用户页面,并会通知他
上传图片, 支持拖拽和剪切板黏贴上传, 格式限制 - jp(e)g, png, gif
Ctrl+Enter
下载APP
电商程序员
52
文章
0
获赞
关注TA
NEW
相关文章推荐
Log4j爆"核弹级"漏洞,那就来做个拆弹专家吧
百度和苹果疑似中招log4j2漏洞!
雷神众测漏洞周报2021.12.6-2021.12.12-4
Log4j2维护者吐槽没工资还要挨骂,GO安全负责人建议开源作者向公司收费
炸锅了!Apache Log4j2 核弹级漏洞公开
白嫖把“开源”搞崩了!
手把手教你复现Log4j2漏洞,千万别中招!
Log4j2 漏洞修复,编译好的log4j-2.15.0.jar包下载