Log4j2描述

Apache Log4j 2是一个开源的日志记录组件，使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句，它是JAVA下最流行的日志输入工具。与Logback平分秋色，大量主流的开源框架采用了Log4j2，像Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。所以，这样一个底层框架出现问题，影响面可想而知。

事件起因

• 一、涉及范围广（任何使用过Log4j2的项目，都有危险
• 二、操作简单（只需要简单操作就可以严重破坏服务器
• 三、危害程度高（相当于拥有了应用的权限
• 四、时间久（预计未来几年都会有这个bug，只要服务不更新，漏洞则一直在

漏洞信息：Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，需及时更新至 Apache Log4j 2.15.0-rc2 版本。

影响范围：

2.0 <= Apache log4j2 <= 2.14.1。

危害原理

那Log4j2 bug的破坏方式是什么，其实很简单，就是类似于SQL注入，这个更厉害，直接是代码注入，代码执行权限自然相当于应用权限。这就属于是一个打印日志的工具人，不好好干活，还把鬼子引进的村。

那主要原理是什么呢？就是在打印日志时，如果发现日志内容中包含关键词 ${ }，那么在{ }包含的内容会被当做变量来进行替换，导致攻击者可以任意执行命令。

其实主要是因为Log4J2里的一个插件：Lookup，出了大问题。这本是个不常用的插件，但代码触发到的频率很高，高到你代码中每次触发info，warn，error 等日志写入的时候，都会去校验一下是否执行Lookup的逻辑。其中问题比较严重的有JndiLookup和RMILookup功能，JNDI可以发现查找数据和资源，RMI则是远程调用。如果用你的主机，远程调用我启动的破坏代码(应用服务)呢，这时候你的服务主机就是案板上的肉了，任人宰割。

修复解决方案

一、设计版本

升级log4j2包的版本，升级到2.15.0 用到 Log4j2 的话请尽快升级版本。这里建议至少更新到2.15.0版本以上。

官方已经有新的缓解措施了，可以看一下https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046

版本下载地址：https://github.com/apache/logging-log4j2/tags

二、来不及更新版本修复，可通过下面的方法紧急缓解问题

#修改JVM参数,设置 
Dlog4j2.formatMsgNoLookups=true
#在涉及漏洞的项目的类路径（classpath）下增加
log4j2.component.properties
#配置文件并增加配置项
log4j2.formatMsgNoLookups=true
#将系统环境变量
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true

三、直接弃用Log4j2

这里要注意的是，你在项目里没有依赖，不代表你的子依赖里没有，需要全局查找。

链接: https://fly63.com/article/detial/10964