log4j2漏洞修复解决方案
Log4j2描述
Apache Log4j 2是一个开源的日志记录组件,使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句,它是JAVA下最流行的日志输入工具。与Logback平分秋色,大量主流的开源框架采用了Log4j2,像Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。所以,这样一个底层框架出现问题,影响面可想而知。
事件起因
- 一、涉及范围广(任何使用过Log4j2的项目,都有危险
- 二、操作简单(只需要简单操作就可以严重破坏服务器
- 三、危害程度高(相当于拥有了应用的权限
- 四、时间久(预计未来几年都会有这个bug,只要服务不更新,漏洞则一直在
漏洞信息:Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,需及时更新至 Apache Log4j 2.15.0-rc2 版本。
影响范围:
2.0 <= Apache log4j2 <= 2.14.1。
危害原理
那Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。这就属于是一个打印日志的工具人,不好好干活,还把鬼子引进的村。
那主要原理是什么呢?就是在打印日志时,如果发现日志内容中包含关键词 ${ },那么在{ }包含的内容会被当做变量来进行替换,导致攻击者可以任意执行命令。
其实主要是因为Log4J2里的一个插件:Lookup,出了大问题。这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。其中问题比较严重的有JndiLookup和RMILookup功能,JNDI可以发现查找数据和资源,RMI则是远程调用。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。
修复解决方案
一、设计版本
升级log4j2包的版本,升级到2.15.0 用到 Log4j2 的话请尽快升级版本。这里建议至少更新到2.15.0版本以上。
官方已经有新的缓解措施了,可以看一下https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046
版本下载地址:https://github.com/apache/logging-log4j2/tags
二、来不及更新版本修复,可通过下面的方法紧急缓解问题
#修改JVM参数,设置
Dlog4j2.formatMsgNoLookups=true
#在涉及漏洞的项目的类路径(classpath)下增加
log4j2.component.properties
#配置文件并增加配置项
log4j2.formatMsgNoLookups=true
#将系统环境变量
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true
三、直接弃用Log4j2
这里要注意的是,你在项目里没有依赖,不代表你的子依赖里没有,需要全局查找。
本文内容仅供个人学习、研究或参考使用,不构成任何形式的决策建议、专业指导或法律依据。未经授权,禁止任何单位或个人以商业售卖、虚假宣传、侵权传播等非学习研究目的使用本文内容。如需分享或转载,请保留原文来源信息,不得篡改、删减内容或侵犯相关权益。感谢您的理解与支持!
