当前位置: 首页 > 知识库问答 >
问题:

LOG4J JNDI攻击CVE-2021-45105wso2漏洞

韦叶秋
2023-03-14

我目前的项目完全与大量Spring Boot容器对接。它们中的大多数都是使用log4j2(对于java8,小于2.7)版本构建的。如何充分证明来自JNDI攻击CVE-2021-45105的应用程序

我知道最好的解决方案是用log4j版本重建这些容器,但这需要时间和预算。

但是,如果我使用下面的命令,在docker compose级别为每个容器禁用查找功能,它能工作吗?

“JVM_EXTRA_OPTS=-Dlog4j2.formatMsgNoLookups=true”

其次,如果我从log4j-core jar'zip-q-d log4j-core-*. jar'中删除JndiLookup.class并重新打包,它是否会影响任何当前的日志实现?如果是,哪些功能会受到影响?

如果我设置系统属性log4j2.formatMsgNoLookup=true,它会工作吗?我应该在哪里设置此属性以停止查找?

注意:我最近被告知,我还需要处理/删除log4j核心jar中的“JMSAppender”和“ServerSocket”类,因为它们也可能容易受到攻击。

如果我不配置JMSAppender和SocketAppender,那么它们应该不会变得脆弱吧?还是我仍然需要删除它们?

共有1个答案

西门飞翮
2023-03-14

我在网上搜索后得到了以下几点,

对于上述问题,为了安全起见,我们需要执行以下操作:

log4j 1的临时修复。十、

>

查找包含JMSApender的JAR文件。班

发现2.

在BOOT-INF/lib/log4j-1.2.17.jar中找到

>

zip-dlog4j-1.2.16.jarorg/apache/log4j/net/JMSAppender.class

zip-d log4j-1.2.16。jarorg/apache/log4j/net/SocketServer。班

log4j 2的临时修复。十、

>

使用以下命令查找JAR文件:

发现2.

发现2.

  • 删除包含JndiLookup和JndiManager类的JAR文件

对于parmanent fix,

修补到log4j2。17.0版本,仅使用log4j2。17.0版本

Log4j

使用log4j1的应用程序。如果他们的配置使用JNDI,x可能会受到影响。log4j1。x来了

请注意log4j1。x已达到使用寿命,不再受支持。2015年8月后针对Log4j 1报告的漏洞。x没有被检查,也不会被修复(由ApacheLog4J)。使用者

对于1.2(直到1.2.17)的Apache log4j版本

检查在log4j的配置文件(例如log4j.properties或log4j.xml)中是否启用了JMSAppender和SocketServer。检查对log4j配置文件的访问是否受限。

 类似资料:
  • 远程攻击者可以通过针对长时间加密会话的生日攻击获得明文数据。 在终端中,可以执行以下命令来测试tomcat是否容易受到Sweet32生日攻击。以下openssl命令可用于进行手动测试: openSSL s_client-connect localhost:8543-cipher“des:3des”-tls12 openSSL s_client-connect localhost:8543-ciph

  • 1 内存 这个讲义的“区域”(Area)和“段”(Segment)与多数教程正好相反,译文中已更正。 在 PC 架构中,程序中有四个基本读写段:栈、数据、BSS 和堆。数据、BSS 以及堆区可统称为“数据区域”。在“内存布局和栈”的教程中,Peter Jay Salzman 详细描述了内存布局。 栈:栈通常在内存的高地址。通常“向下增长”:从高地址到低地址。无论何时进行函数调用,栈都会使用。 数据

  • 本文向大家介绍jQuery Mobile漏洞会有跨站脚本攻击风险,包括了jQuery Mobile漏洞会有跨站脚本攻击风险的使用技巧和注意事项,需要的朋友参考一下 概述 根据国外媒体的最新报道,谷歌公司的安全工程师Eduardo Vela在jQuery Mobile框架中发现了一个安全漏洞,这个漏洞将会让 所有使用了jQuery Mobile的网站暴露于跨站脚本攻击风险之下 。 jQuery Mo

  • 该版本现已分配给CVE-2022-22965。除了下面的好答案之外,请查看Spring Framework RCE:早期发布,因为它是本期最可靠和最新的网站。 根据不同的来源,我们在使用Spring Core库时似乎遇到了严重的安全问题。 https://securityboulevard.com/2022/03/new-spring4shell-zero-day-vulnerability-co

  • 我正在做一个Spring Boot项目,我正在检查它是否与这个漏洞有关,我没有任何Log4j核心依赖,但是我正在使用Hibernate核心5.0.12,它使用jboss日志3.3.1 当我检查jboss日志依赖时,我看到log4j: 先谢谢你

  • “点击劫持”攻击允许恶意页面 以用户的名义 点击“受害网站”。 许多网站都被黑客以这种方式攻击过,包括 Twitter、Facebook 和 Paypal 等许多网站。当然,它们都已经被修复了。 原理 原理十分简单。 我们以 Facebook 为例,解释点击劫持是如何完成的: 访问者被恶意页面吸引。怎样吸引的不重要。 页面上有一个看起来无害的链接(例如:“变得富有”或者“点我,超好玩!”)。 恶意