2. 程式人生 > 其它 >Log4j 漏洞修復檢測 附檢測工具

Log4j 漏洞修復檢測 附檢測工具

阿新 發佈:2021-12-13

作者:SRE運維部落格
部落格地址:https://www.cnsre.cn/
文章地址:https://www.cnsre.cn/posts/211213210004/
相關話題:https://www.cnsre.cn/tags/Log4j/

近日的Log4j2,可是非常的火啊,我也是加班加點把補丁給打上了次安心。Apache Log4j2存在遠端程式碼執行漏洞,經驗證,該漏洞允許攻擊者在目標伺服器上執行任意程式碼,可導致伺服器被黑客控制。由於Apache Log4j 2應用較為廣泛,建議使用該元件的使用者儘快採取安全措施。

影響範圍

漏洞影響版本

2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1

漏洞描述

Apache Log4j 2是一個基於Java的日誌記錄工具,是對 Log4j 的升級。近日安恆資訊應急響應中心監測到Apache Log4j 2存在遠端程式碼執行漏洞,攻擊者可通過構造惡意請求利用該漏洞實現在目標伺服器上執行任意程式碼。

漏洞修復

由於Log4j2 作為日誌記錄基礎第三方庫,被大量Java框架及應用使用,只要用到 Log4j2 進行日誌輸出且日誌內容能被攻擊者部分可控,即可能會受到漏洞攻擊影響。因此,該漏洞也同時影響全球大量通用應用及元件,例如 :
Apache Struts2、Apache Solr、Apache Druid、Apache Flink、Apache Flume、Apache Dubbo、Apache Kafka、Spring-boot-starter-log4j2、ElasticSearch、Redis、Logstash等
建議及時檢查並升級所有使用了 Log4j 元件的系統或應用。

緊急: 目前漏洞POC已被公開,官方已釋出安全版本,建議使用該元件的使用者儘快採取安全措施。

臨時性緩解措施:

1、在 jvm 引數中新增 -Dlog4j2.formatMsgNoLookups=true
2、系統環境變數中將LOG4J_FORMAT_MSG_NO_LOOKUPS 設定為 true
3、建立 log4j2.component.properties 檔案,檔案中增加配置 log4j2.formatMsgNoLookups=true
4、若相關使用者暫時無法進行升級操作,也可通過禁止Log4j中SocketServer類所啟用的socket端對公網開放來進行防護
5、禁止安裝log4j的伺服器訪問外網,並在邊界對dnslog相關域名訪問進行檢測。部分公共dnslog平臺如下

ceye.io
dnslog.link
dnslog.cn
dnslog.io
tu4.org
awvsscan119.autoverify.cn
burpcollaborator.net
s0x.cn

徹底修復漏洞:

建議您在升級前做好資料備份工作,避免出現意外
研發程式碼修復:升級到官方提供的 log4j-2.15.0-rc2 版本
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.1-rc1

漏洞檢測工具

檢測工具下載地址 https://pan.cnsre.cn/d/Package/Linux/360log4j2.zip

漏洞檢測

瀏覽器被動式掃描檢測方案

  • 原理
    工程師可設定該代理通過瀏覽器被動掃描目標,檢視 DNS Log 檢測是否存在 log4j 漏洞。
  • 使用方法
    1.瀏覽器或作業系統配置 HTTP/HTTPS 代理:219.141.219.69:18080

2.瀏覽器或作業系統將下列證書新增到信任名單:附件sqli-hunter.pem

3.使用瀏覽器正常進行目標瀏覽,當結束掃描後,在http://219.141.219.69:18000/ 下檢查是否存在以目標域名為名的 txt 檔案,如 http://219.141.219.69/360.cn.txt

4.若存在,則說明目標網站存在漏洞,細節如下:

可看到完整 HTTP 請求細節,params引數為存在 log4j 注入漏洞的引數

  • 使用限制
  1. 主機外網 IP 無法訪問 360 IP,請不要使用該代理掃描 360
  2. 目前只能檢測 POST body 中的引數
  3. 不允許任何惡意攻擊

本地掃描常規檢測方案

  1. 下載本地檢測工具

  2. 掃描原始碼:./log4j-discoverer --src"原始碼目錄"

  3. 掃描jar包:./log4j-discoverer--jar "jar包檔案"

  4. 掃描系統程序:./log4j-discoverer –scan

Log4j漏洞補丁方案

如果檢測到相關漏洞的應用或元件,建議立即對該應用或元件進行打補丁修復, Log4j補丁方案如下:

  • 工具原理

Hook前受到log4j jndi注入攻擊

執行 java -jar PatchLog4j.jar

打入補丁後 log4j不再處理JNDI邏輯直接將JNDI字串輸出

工具來源【360政企安服高攻實驗室】

作者:SRE運維部落格
部落格地址:https://www.cnsre.cn/
文章地址:https://www.cnsre.cn/posts/211213210004/
相關話題:https://www.cnsre.cn/tags/Log4j/

相關推薦

Log4j 漏洞修復檢測 檢測工具

作者:SRE運維部落格 部落格地址:https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211213210004/

關於log4j漏洞修復解決方案及原始碼編譯

最近log4j爆出重大漏洞,程式設計師要趕緊修復了!文末提供已經編譯好的jar包。

Log4j 漏洞修復和臨時補救方法

1.2 漏洞評級及影響版本 Apache Log4j 遠端程式碼執行漏洞 嚴重 影響的版本範圍:Apache Log4j 2.x <= 2.14.1

靜態程式碼檢測工具Wukong對log4J中的漏洞檢測、分析及漏洞修復

一、簡介 最近的Log4J漏洞(CVE-2021-44228)正造成網路大亂,其影響力不亞於早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以說直接影響了大部分基於Java的應用。該漏洞最早被阿里

SqlServer效能檢測和優化工具使用詳細

https://www.cnblogs.com/knowledgesea/p/3683505.html 工具概要 如果你的資料庫應用系統中,存在有大量表,檢視,索引,觸發器,函式,儲存過程,sql語句等等,又效能低下,而苦逼的你又要對其優化,那麼你該怎麼

C++記憶體洩漏檢測(除錯工具

理論 什麼是記憶體洩露:指因為疏忽或錯誤造成程式未能釋放已經不再使用的記憶體的情況。記憶體洩漏並不是指記憶體在物理上的消失,而是應用程式分配某段記憶體後,因為設計錯誤,失去了對該段記憶體的控制,因而造

JS檢測瀏覽器開發者工具是否開啟的方法詳解

在某些情況下我們需要檢測當前使用者是否打開了瀏覽器開發者工具,比如前端爬蟲檢測,如果檢測到使用者打開了控制檯就認為是潛在的爬蟲使用者,再通過其它策略對其進行處理。本篇文章主要講述幾種前端JS檢測開發者工

Packer Fuzzer:一款針對Webpack等前端打包工具所構造的網站進行快速、高效安全檢測的掃描工具

工具介紹 隨著WEB前端打包工具的流行,您在日常滲透測試、安全服務中是否遇到越來越多以Webpack打包器為代表的網站?這類打包器會將整站的API和API引數打包在一起供Web集中呼叫,這也便於我們快速發現網站的功能和A

openEuler 尤拉開源社群 Log4j 高危安全漏洞修復完成,建議所有使用者升級

12 月 12 日訊息,據 openEuler 釋出,目前,尤拉開源社群已經修復 Log4j 高危安全漏洞 (CVE-2021-44228) 併發布安全公告。你可以通過更新 openEuler 20.03 LTS SP1 / SP2 Log4j 的安全補丁修復漏洞。尤拉開源社群

Apache Log4j任意程式碼執行漏洞修復 spring-boot-starter-log4j2

1、概述 專案使用log4j 1.2.17結合spring-boot-starter-log4j2進行日誌記錄,針對log4j漏洞進行修復

如何修復使用 Python ORM 工具 SQLAlchemy 時的常見陷阱

在使用 SQLAlchemy 時,那些看似很小的選擇可能對這種物件關係對映工具包的效能產生重要影響。

Apache漏洞修復記錄

一、慢http攻擊漏洞 1、在Apache中配置reqtimeout_module設定header和body的最大響應時間。

win10系統漏洞修復方法

雖然Win10作業系統的功能非常的強大,但是使用久了也難免會出現些這樣或那樣的問題。那麼問題來了,當遇到win10漏洞時要怎麼修復呢?接下來,小編就將整理的win10電腦系統漏洞修復教程分享給大家。

Java 配置log4j日誌檔案路徑 (-獲取當前類路徑的多種操作)

1 日誌路徑帶來的痛點 Java 專案中少不了要和log4j等日誌框架打交道,開發環境和生產環境下日誌檔案的輸出路徑總是不一致,設定為絕對路徑的方式缺少了靈活性,每次變更專案路徑都要修改檔案,目前想到的最佳實現方式是:

Kn95口罩在哪裡檢測檢測儀器都有那些

未耒(lei)智慧 敬上 先說檢測裝置: 1、口罩溫溼度預處理試驗箱 2、口罩帶斷裂強度試驗機 3、阻燃試驗機 4、表面抗溼性測試儀 5、醫用外科口罩細菌過濾效率(BFE)檢測儀 6、氣體交換壓力差測試儀 7、呼氣

CVE-2020-1971: OpenSSL 拒絕服務漏洞修復

2020年12月8日openssl釋出了openssl 拒絕服務漏洞的風險通告,該漏洞編號為CVE-2020-1971,漏洞等級:高危,漏洞評分:7.5。

weblogic反序列化漏洞修復

技術標籤:實施部署 漏洞驗證 1.http://ip:埠/wls-wsat/CoordinatorPortType 2.http://ip:埠/_async/AsyncResponseServiceSoap12如果頁面能訪問到,證明存在漏洞

育碧:《刺客信條:英靈殿》無法互動 Bug 已臨時修復解決方法)

育碧旗下的大作出現 BUG 一般來說會使遊戲顯得比較滑稽,而最近在更新 “河流搶劫模式”後,《刺客信條:英靈殿》出現了無法與一些任務 NPC 互動的 BUG,這使得玩家體驗非常差。

PowerPoint 2021 for Mac(mac ppt破解版)啟用工具v16.52預覽版

有了這款MicrosoftPowerPoint2021 for Mac 中文破解版,建立和編輯簡報更加便捷高效,這款powerpoint2021破解版支援插入字型、圖片、表格、文字框、動畫、演講者備註等各種內容,Microsoft PowerPoint 2021 for Mac

ntp 漏洞修復| ntp編譯升級

wget https://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8p15.tar.gz mkdir /tmp/ntp service ntp stop #關閉ntp服務,如果沒有開啟可以跳過