声明
首先声明一下,图片上有FreeBuf的水印是因为是从我FreeBuf上的文章中复制过来的,并不是转载他人的,依然是本人的原创,希望能帮到大家!
FreeBuf本人原文链接:https://www.freebuf.com/vuls/311455.html
文章只做网络安全技术分享,不做任何非法活动的利用,仅限于知识技术网络安全学习者阅读,切勿用于非法活动。遵纪守法,为国家网络安全贡献力量!
漏洞描述
Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
楼栋编号:CVE-2021-44228
说的通俗一点,log4j2就是java框架开发中常常会被使用的日志记录工具,开发者直接在pom.xml文件中便可引入相关依赖,使用此工具。相信很多java开发人员对此并不陌生。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-log4j2</artifactId>
<version>2.6.1</version>
</dependency>
然而,在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。
漏洞影响范围
2.0 <= Apache Log4j2<= 2.