Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)

更新时间：2024年07月10日 12:24:10 作者：306Safe

Apache Log4j2是一款开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中,用来记录日志信息,这篇文章主要介绍了Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐),需要的朋友可以参考下

分析：

Apache Log4j2是一款开源的Java日志框架，被广泛地应用在中间件、开发框架与Web应用中，用来记录日志信息。由于Apache Log4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特别构造的数据请求包，可在目标服务器上执行任意代码。漏洞PoC已在网上公开，默认配置即可进行利用，该漏洞影响范围极广，建议相关用户尽快采取措施进行排查与防护。

根据Iog4j的用途和复现的情况来看，攻击入口取决于Iog4j从线上业务的哪些地方取数据放入 logger.error，所以没有固定请求路径。另外由于线上web业务的任何数据都可能写入Iog4j，甚至一些pre-auth的地方，比如注册、登录，所以这个漏洞的影响可能会被放大到未授权命令执行。

检测：

人工检测

1、相关用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构，判断是否使用了存在漏洞的组件，若存在相关Java程序包，则很可能存在该漏洞。

2、若程序使用Maven打包，查看项目的pom.xml文件中是否存在下图所示的相关字段，若版本号为小于2.15.0，则存在该漏洞。

3、若程序使用gradle打包，可查看build.gradle编译配置文件，若在dependencies部分存在org.apache.logging.log4j相关字段，且版本号为小于2.15.0，则存在该漏洞。

4、检测Ivy依赖版本是否低于 2.15.0

5、检测SBT依赖版本是否低于 2.15.0

若没有使用上述工具，那么可以全局搜索log4j的相关jar包。

受影响版本：

Apache Log4j 2.x <= 2.14.1

已知受影响应用及组件：

Apache Solr

Apache Flink

Apache Druid

srping-boot-strater-log4j2

不受影响版本：

Apache log4j-2.15.0-rc1

防护：

1、升级

目前官方已发布测试版本修复该漏洞，受影响用户可先将Apache Log4j2所有相关应用到该版本，下载链接：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
注：由于此版本非正式发行版，可能出现不稳定的情况，建议用户在备份数据后再进行升级。
升级供应链中已知受影响的应用及组件：Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2

2、流量拦截 rulel $(jndi:ldap://rule2 $(jndi:rmi://

以上流量特征可能出现在流量中的任何地方，也包括各种类型的请求（GET、POST等），所以需要对整个请求流量做特征匹配。

以上正则对业务中的正常jndi流量无影响（恶意流量须包含${jndi:rmi或${jndi:ldap，正常业务jndi流量通常只包含rmi://、 ldap:// ），但是如果你的正常流量也包含上述特征请慎用。

3、临时防护

从官方给的信息和复现情况来看，利用手段是jndi注入无疑，jndi注入无非ldap、rmi,需要外连请求Idap-server/exp-server，禁止外连能在一定程度上缓解，但是不能防御攻击者已控其他内部服务器的情况。此外，JDK11.0.1、8u191、7u201、6u211或者更高版本默认是无法利用JNDI注入，JDK6u141、7u131、8u121或者更高版本无法利用RMI注入，网上的一些bypas s方法也是依赖本地特定的lib（相当于找了新的gadgets），所以总结：

1、禁止使用Iog4j的服务器外连（日志服务器正常不需要外连）

并在边界对dnslog相关域名访问进行检测。

部分公共dnslog平台如下：

ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
awvsscan119.autoverify.cn
burpcollaborator.net
s0x.cn

2、建议JDK使用高版本

3、添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true

4、在应用classpath下添加log4j2.component.properties配置文件，文件内容为：log4j2.formatMsgNoLookups=true

5、将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

到此这篇关于Apache Log4j2 远程代码执行漏洞分析+检测+防护的文章就介绍到这了,更多相关Apache Log4j2 远程代码执行漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

linux将源码驱动文件编译并生效方式
文章介绍了如何在KylinV4系统上编译和安装网卡驱动,并提供了一个详细的步骤指南,包括编译内核、编译模块、安装内核和更新引导等,同时,也说明了如何将本地编译好的驱动文件生效,并提供了一些测试效果图和总结
2026-01-01
在Linux服务器中查看运行的服务的方法汇总
在云服务器中,查看服务器具体运行的服务可以通过多种方法实现,具体的方法取决于你所使用的操作系统,常见的云服务器操作系统包括Linux（例如Ubuntu、CentOS等）和Windows Server,下面将分别介绍如何在这两种操作系统中查看正在运行的服务,需要的朋友可以参考下
2025-05-05
Linux如何设置java.library.path
这篇文章主要介绍了Linux如何设置java.library.path问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2023-12-12
Linux定时任务Crontab的使用方法
这篇文章主要为大家详细介绍了Linux定时任务Crontab的使用方法，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-12-12
centos7.0安装离线JDK1.8方法详解
这篇文章主要介绍了centos7.0安装离线JDK1.8方法,本文给大家介绍的非常详细，具有一定的参考借鉴价值，需要的朋友可以参考下
2018-06-06
Ubuntu挂载Windows共享文件的详细步骤
在某些情况下,我们需要将windows的某个文件夹共享出去,这样,在同一个网络中,linux系统就可以通过挂载来访问这个文件夹中的内容,所以本文给大家介绍了Ubuntu挂载Windows共享文件的详细步骤,需要的朋友可以参考下
2025-07-07
linux系统中通过rsync+inotify实现网页自动同步
这篇文章主要介绍了linux系统中通过rsync+inotify实现网页自动同步,需要的朋友可以参考下
2014-11-11
centos6.5升级安装配置supervisor的教程
Supervisor 是用Python开发的一个client/server服务，是Linux/Unix系统下的一个进程管理工具，不支持Windows系统。这篇文章主要介绍了centos6.5升级安装配置supervisor的方法,需要的朋友可以参考下
2019-11-11
在CentOS 7下安装Redis和MongoDB教程
本篇文章主要介绍了在CentOS 7下安装Redis和MongoDB教程，有需要的可以了解一下。
2016-11-11
Centos7备份文件时备份文件加入备件日期
这篇文章主要介绍了关于Centos7备份文件时备份文件加入备件日期，本文通过实例图文的形式给大家介绍的非常详细，具有一定的参考借鉴价值，需要的朋友可以参考下
2019-12-12