探索CVE-2021-41773与CVE-2021-42013:深入Apache Log4j的安全漏洞修复

最新推荐文章于 2024-09-10 20:40:11 发布
最新推荐文章于 2024-09-10 20:40:11 发布
阅读量552 收藏 3
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00044/article/details/137165455
版权
本文详细介绍了ApacheLog4j中的CVE-2021-41773和CVE-2021-42013安全漏洞,提供inbug-team项目中的修复方案、影响分析和防御策略,对开发者进行安全预警和教育。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

探索CVE-2021-41773与CVE-2021-42013:深入Apache Log4j的安全漏洞修复

去发现同类优质开源项目:https://gitcode.com/

在软件安全领域,CVE(Common Vulnerabilities and Exposures)编号是用于识别特定安全漏洞的标准。近年来,Apache Log4j中的两个重大漏洞,CVE-2021-41773和CVE-2021-42013,引起了全球的关注。GitCode上有一个由inbug-team维护的项目,专门针对这两个漏洞进行分析和修复,为开发者提供了一手的参考资料。

项目简介

此项目是针对Apache Log4j框架的两个严重安全漏洞的研究和解决方案集合。它包含了详细的漏洞解释、影响范围、攻击示例,以及如何检测和修补这些漏洞的指导。对于那些使用Log4j的企业和个人开发者而言,这是一个非常有价值的资源库。

技术分析

CVE-2021-41773,也被称作"Log4Shell 2.0",是一个允许远程代码执行的漏洞,攻击者可以通过控制JNDI(Java Naming and Directory Interface)注入恶意代码到受害者系统中。通过构造特殊格式的日志消息,攻击者可以诱使Log4j加载远程恶意类路径,从而执行任意代码。

CVE-2021-42013 是一个配置绕过漏洞,它允许攻击者在未启用lookup功能的情况下也能触发JNDI注入攻击。这个漏洞进一步扩大了受影响的应用程序范围。

项目提供了详细的步骤来检查你的应用是否受到这些漏洞的影响,并给出了及时的修复建议,包括升级到最新版本的Log4j或应用特定的配置更改。

应用场景

这个项目对所有使用Apache Log4j作为日志处理工具的开发者都非常有用。无论是大型企业还是独立开发者,了解和应对这些漏洞都是保障系统安全的重要一环。你可以:

  1. 自我检测 - 使用项目提供的检查方法确定你的应用程序是否存在这些漏洞。
  2. 学习防御策略 - 学习如何配置Log4j以防止类似的攻击。
  3. 教育团队 - 分享这个资源以提高团队的安全意识和防御能力。

特点

  1. 全面性 - 详尽地涵盖了两个漏洞的所有关键信息,包括成因、影响和修复方案。
  2. 实时更新 - 随着官方补丁发布和新的研究进展,项目会持续更新以保持最新状态。
  3. 实战导向 - 提供实际的攻击示例,帮助理解漏洞的运作机制。

结论

利用,开始你的安全之旅吧!

去发现同类优质开源项目:https://gitcode.com/

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Log4j CVE-2021-44228后续-CVE-2021-45046,CVE-2021-45105
oscar999的专栏
12-20 1357
Log4j 发现远程代码攻击漏洞(CVE-2021-44228 )之后, Apache 随即发布了 2.15.0版本, 但是发布的这个版本在线程上下文查找依旧存在远程代码攻击漏洞(CVE-2021-45046),于是随后又发布了 2.16.0版本; 不幸的是,两天后,Log4j 又被发现了DOS(拒绝服务)的漏洞(CVE-2021-45105), 于是又发布了2.17.0 版本, 截止目前位置, Log4j 在Java 8的**安全版本是2.17.0 **。
Log4j CVE-2021-44228 漏洞及Spring Boot解决方案
oscar999的专栏
12-17 2290
Log4j 的2 到 2.14 版本最近爆出了一个比较大的漏洞,漏洞编号是CVE-2021-44228。本篇对该漏洞进行简单介绍, 并介绍Spring Boot项目如何解决该漏洞。
CVE-2021-41773CVE-2021-42013检测脚本
dreamthe的博客
12-04 1665
自己在家写的简单的脚本检测,没有多么炫酷,代码的备注都给你们写的好好的,给小女点个赞再走咯。为啥使用urllib不要request模块是因为在写的时候发现request模块会将url进行转码。所以使用比较老的urllib模块。 #!/usr/bin/env python3 # -*- coding: utf-8 -*- # author: trance # datetime: 2021/12/2 0002 22:29 # !/usr/bin/env python3 # -*- coding: utf-8
CVE-2021-41773|CVE-2021-42013——Apache HTTP Server路径遍历|远程代码执行
LiBai'S BLOG
11-13 9022
https://66.175.213.123/etc/passwd 请求包 GET https://66.175.213.123//icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1 Host: 66.175.213.123 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0 Accept: text/html,applica
CVE-2021-41773Apache 文件读取&命令执行)复现
Biu_Biu_Bi的博客
01-03 837
Apache httpd Server 2.4.49 版本引入了一个具有路径穿越漏洞的新函数,但需要配合穿越的目录 配置 Require all granted,攻击者可利用该漏洞实现路径穿越从而读取任意文件,或者在配置了cgi的httpd程序中执行bash指令,从而有机会控制服务器。
Apache——CVE-2021-41773
qq_45770644的博客
10-06 3820
前言: Apache Software 已迅速发布了针对 Apache HTTP Server 中的零日安全漏洞修复程序,该漏洞于上周首次报告给该项目。该漏洞正在野外被积极利用,它表示,并可能允许攻击者访问敏感信息。 CVE-2021-41773可能允许路径遍历和随后的文件泄露。路径遍历问题允许未经授权的人访问 Web 服务器上的文件,方法是欺骗 Web 服务器或在其上运行的 Web 应用程序返回存在于 Web 根文件夹之外的文件。 该问题仅影响 Apache 开源 Web 服务器的 2.4.49.
CVE-2021-41773&CVE-2021-42013多线程漏洞检测利用工具
白昼小丑的博客
10-10 4194
CVE-2021-41773_CVE-2021-42013 CVE-2021-41773 CVE-2021-42013多线程漏洞批量检测利用工具 简介 本工具只可用于安全测试,勿用于非法用途! 工具定位 CVE-2021-41773 CVE-2021-42013多线程漏洞批量检测利用工具 工具截图 提交反馈 如有好的建议,以及发现BUG。 GitHub issue:https://github.com/inbug-team/CVE-2021-41773_CVE-2021-..
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
1. `apache-log4j-2.19.0-bin.tar.gz`:这是 Log4j 的 2.19.0 版本二进制包,包含了最新的稳定版本,适用于需要快速修复安全漏洞的用户。 2. `apache-log4j-2.12.4-bin.tar.gz`:这是适用于 Java 7 环境的 2.12.4 ...
vCenter修复Apache log4j2漏洞(CVE-2021-44228, CVE-2021-45046)
qq_27248929的博客
12-21 4805
2021年12月Apache log4j远程执行漏洞影响到的VMware产品列表:VMSA-2021-0028.4 (vmware.com)。 本次我们所涉及到的产品及版本是vSphere6.7下的vCenter Server Application6.7.x,以下是加固的配置步骤: 1)首先打开vCenter的shell连接,需从控制台进入vCenter虚机进行配置操作,具体为进入排错模式,Enable shell和SSH选项; 2)打开xshell 通过SSH连接vCenter进行命令行.
Apache HTTP Server路径遍历漏洞复现0day(CVE-2021-41773|CVE-2021-42013远程代码执行)
总有人间一两风,填我十万八千梦
10-09 6042
声明:请勿用于非法入侵,仅供检测学习!传送门 ——>中华人民共和国网络安全法 漏洞描述 在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现了一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。如果文档根目录之外的文件不受“要求全部拒绝”的保护,则这些请求可能会成功。此外,此缺陷可能会泄漏 CGI 脚本等解释文件的来源。已知此问题已被广泛利用。此问题仅影响 Apache 2.4.49 而不是早期版本。 fofa查询:server=.
TryHackMe-CVE-2021-41773/42013Apache2.4.49/50)
M1n9K1n9的博客
02-27 396
tryhackme:Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。如果文档根目录之外的文件不受“要求全部拒绝”的保护,则这些请求可以成功。此外(原文如此)此缺陷可能会泄露 CGI 脚本等解释文件的来源。众所周知,这个问题在野外被利用。此问题仅影响 Apache 2.4.49,而不影响早期版本。仅仅 2 天后,即 10月 7 日,一个新的 CVE 发布,引用了之前的 CVE
CVE-2021-41773 漏洞复现
Jay17的博客
07-13 1163
CVE-2021-41773 漏洞复现
安全漏洞CVE-2021-41773CVE-2021-42013漏洞分析
HBohan的博客
10-16 2306
CVE-2021-41773 漏洞成因 Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在…/的路径穿越符,如下所示: while (path[l] != '\0') { if ((flags & AP_NORMALIZE_DECODE_UNRESERVED) && path[l] == '%' && apr_isxdigit(p
CVE-2021-41773
weixin_44770698的博客
03-28 393
Apache2.4.49 路径穿越以及命令执行!
[GFCTF 2021]Baby_Web的CVE-2021-41773
Aiwin的博客
06-05 1729
[GFCTF 2021]Baby_Web的CVE-2021-41773
【漏洞复现】CVE-2021-41773
qq_70836100的博客
08-06 392
该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录 Require all granted允许被访问的的情况下(默认开启),攻击者可利⽤该路 径穿越漏洞读取到Web⽬录之外的其他⽂件。Apache HTTP Server 2.4.49 某些Apache HTTPd 2.4.50也存在此漏洞。在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)
Apache目录穿越漏洞复现 CVE-2021-41773
最新发布
m0_62284238的博客
09-10 458
Apache HTTP Server 2.4.49 版本中,在对用户发送的请求中的路径参数进行规范化时,其使用的。(3)%2e%2e/ 解码为../但检测指针已经移到了/,故也没有检测到存在../当读取到一个%时,若其后两个字符为十六进制,会将其后两个字符进行url解码。(2).%2e/ 此时%2e解码为.继续判断后面为.没有检测到存在../(1)%2e./ 此时%2e解码为.得到../被检测到存在../即可成功绕过对../的检测,访问到网站目录外的目录。访问靶机的8090端口。
Log4j 2.17.0 安全更新:解决 CVE-2021-45105 漏洞
CVE-2021-45105指的是Log4j 2中发现的一个特定的安全漏洞。通过利用这个漏洞,攻击者可能可以执行拒绝服务攻击,严重时甚至可能远程执行代码。因此,对于使用Log4j 2.x版本的开发者和运维团队来说,更新至最新版本并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姚婕妹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值