`
maxer025
  • 浏览: 79849 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
文章分类
社区版块
存档分类
最新评论

Apache log4j2 远程命令执行漏洞复现及修复方案

阅读更多



附:从jar包中删除class文件的方法:

注意:

如果容器化部署,容器实例重启后操作会复原,需要重新操作。
实际执行需要关注文件属主和权限等安全属性。
1. 非SpringBoot的jar包,直接删除log4j-core-*.jar中class文件
     zip -q -d  */WEB-INF/lib/log4j-core-2.0.1.jar org/apache/logging/log4j/core/lookup/JndiLookup.class ;

2. SpringBoot的jar包,需要解压出log4j-core*.jar,删除class文件后重新打包
2.1 使用zip和unzip命令
  # 以Demo.jar为例
## 解压获得log4j-core*.jar
unzip -o Demo.jar BOOT-INF/lib/log4j-core*.jar
## 删除class
zip -q -d BOOT-INF/lib/log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
## 重新打包
zip -r -0 Demo.jar BOOT-INF/
## 检查jar包中的log4j-core*.jar包是否已经更新
unzip -l Demo.jar | grep log4j-core
## 删除临时文件
rm -rf BOOT-INF/
## 检查下jar包是否可以正常启动
java -jar Demo.jar

2.2 使用jar命令(需要jdk)
# 以Demo.jar为例

## 创建临时目录
rm -rf tmp && mkdir tmp && cd tmp
## 解压
jar -xf ../Demo.jar
## 删除class
zip -q -d BOOT-INF/lib/log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
## 重新打包
jar -cfm0 Demo.jar ./META-INF/MANIFEST.MF ./
## 删除临时文件
rm -rf BOOT-INF/ META-INF/ org/
## 检查下jar包是否可以正常启动
java -jar Demo.jar
————————————————
版权声明:本文为CSDN博主「杨小熊的笔记」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Next_Second/article/details/121941830







https://blog.csdn.net/Next_Second/article/details/121941830
分享到:
评论

相关推荐

    Apache Log4j2 远程代码执行漏洞检测工具

    针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...

    解决Apache Log4j 远程代码执行漏洞log4j2部分jar

    解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar

    Apache Log4j 远程代码执行漏洞(CVE-2021-44832)

    Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。

    Apache Log4j 2代码漏洞处置指南及检测工具.zip

    Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具

    logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库

    针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4j,log4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压...

    Apache Log4j2紧急缓解措施.docx

    Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出现了严重的安全漏洞, Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修复该漏洞,避免攻击者的攻击。 一、修改启动脚本 在启动 Java 应用程序时,添加一...

    Log4J2远程代码执行漏洞修复20211210.rar

    《Log4J2远程代码执行漏洞修复详解》 在IT安全领域,Log4J2的远程代码执行漏洞(CVE-2021-44228)引起了广泛关注。此漏洞影响了全球无数使用Java日志框架Log4J2的应用程序,其严重性在于它允许攻击者通过注入特定的...

    Apache Log4j反序列化命令执行漏洞

    vulhub靶机里的这个漏洞里缺少了curl或者wget这些命令

    java springboot log4j 漏洞复现与修复

    复现与修复Log4j重大漏洞 Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者...

    Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)

    Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...

    若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载

    标题中提到的“log4j2.16.0”是Log4j2框架的一个安全更新版本,主要目的是修复这个被称为“Log4Shell”的漏洞。Log4j2.16.0是官方发布的一个重要安全补丁,它包含了一系列的安全增强措施,以防止恶意输入触发远程...

    log4j2漏洞检测工具

    4. **修复漏洞**: 根据报告提供的指导,更新Log4j2到不受影响的版本,或者应用临时解决方案,如禁用JNDI查找功能。 5. **验证修复**: 再次运行检测工具,确保所有漏洞都已修复。 6. **持续监控**: 设置定期扫描,...

    CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md

    CVE-2020-13925 Apache Kylin 远程命令执行漏洞

    Apache Log4j 2 (apache-log4j-2.17.1-bin.tar.gz)

    Apache Log4j 2 (apache-log4j-2.17.1-bin.tar.gz)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...

    apache-log4j-2.16.0-bin.rar

    总之,Apache Log4j2的这个远程代码执行漏洞是一个严重的安全问题,及时升级到2.16.0或更高版本是保护系统免受攻击的关键。企业应当制定并实施有效的安全策略,包括定期更新软件组件,监控系统日志以检测异常行为,...

    Apache Log4j 2 源代码( apache-log4j-2.17.1-src.zip)

    Apache Log4j 2 源代码( apache-log4j-2.17.1-src.zip) 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞...

    修复log4j漏洞log4j2下载最新log4j2.16.0下载 log4j-api-2.16.0.jar

    apache下载太慢,特搬到国内下载。修复log4j漏洞log4j2下载最新log4j2.16.0下载

    log4j远程执行漏洞,测试源码

    标题提及的是“log4j远程执行漏洞”,这指的是Log4j 2框架中的一个严重安全漏洞,通常称为CVE-2021-44228,也被广泛称为“Log4Shell”漏洞。这个漏洞允许攻击者通过在日志记录语句中注入恶意代码来实现远程代码执行...

    apache-log4j-2.0

    Apache Log4j 2.0 发布第 4 个 Beta 版本,包括的新特性有: o Added Log4j 2 to SLF4J adapter. o LOG4J2-131: Add SMTPAppender. Thanks to Scott Severtson. o Added hostName and contextName to property ...

Global site tag (gtag.js) - Google Analytics