vlambda博客
学习文章列表

Log4j是Apache的一个开源项目，通过使用Log4j，可以控制日志信息输送的目的地（控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等）；也可以控制每一条日志的输出格式。通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。

Log4j存在远程代码执行漏洞，该漏洞产生的原因是SocketServer类对于监听获取到的数据并没有进行有效的安全验证，直接进行反序列化处理。攻击者可以传入恶意的序列化数据对漏洞进行利用，向服务器发起远程代码执行攻击。

搭建Log4j 1.2.17环境，使用nc向Log4j开放端口发送恶意序列化数据，效果如下：

目前受影响的Log4j版本：
Apache Log4j 1.2.4 - 1.2.17

1.升级到Apache Log4j 2系列最新版
2.禁止将SocketServer类所开启的socket端口暴露到互联网