Log4j 漏洞修复和临时补救方法

Java
335
0
0
2022-08-06
Mac Jenkins 部署 SpringBoot 应用到远程服务器
上一篇
.NET网络通信基础Socket编程
下一篇

1.2 漏洞评级及影响版本

Apache Log4j 远程代码执行漏洞 严重

影响的版本范围:Apache Log4j 2.x <= 2.14.1

2.log4j2 漏洞简单演示

创建maven工程

引入jar包依赖

<dependencies> 
        <dependency> 
            <groupId>org.apache.logging.log4j</groupId> 
            <artifactId>log4j-api</artifactId> 
            <version>2.14.0</version> 
        </dependency> 
        <dependency> 
            <groupId>org.apache.logging.log4j</groupId> 
            <artifactId>log4j-core</artifactId> 
            <version>2.14.0</version> 
        </dependency> 
    </dependencies>

编写log4j2配置文件

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">

    <!--全局参数--> 
    <Properties> 
        <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property> 
        <Property name="logDir">/data/logs/dust-server</Property> 
    </Properties>

    <Loggers> 
        <Root level="INFO"> 
            <AppenderRef ref="console"/> 
            <AppenderRef ref="rolling_file"/> 
        </Root> 
    </Loggers>

    <Appenders> 
        <!-- 定义输出到控制台 --> 
        <Console name="console" target="SYSTEM_OUT" follow="true"> 
            <!--控制台只输出level及以上级别的信息--> 
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/> 
            <PatternLayout> 
                <Pattern>${pattern}</Pattern> 
            </PatternLayout> 
        </Console> 
        <!-- 同一来源的Appender可以定义多个RollingFile,定义按天存储日志 --> 
        <RollingFile name="rolling_file" 
                     fileName="${logDir}/dust-server.log" 
                     filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log"> 
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/> 
            <PatternLayout> 
                <Pattern>${pattern}</Pattern> 
            </PatternLayout> 
            <Policies> 
                <TimeBasedTriggeringPolicy interval="1"/> 
            </Policies> 
            <!-- 日志保留策略,配置只保留七天 --> 
            <DefaultRolloverStrategy> 
                <Delete basePath="${logDir}/" maxDepth="1"> 
                    <IfFileName glob="dust-server_*.log" /> 
                    <IfLastModified age="7d" /> 
                </Delete> 
            </DefaultRolloverStrategy> 
        </RollingFile> 
    </Appenders>
</Configuration>

创建测试类Log4j2Demo

//java项目 fhadmin.cn
public class Log4j2Demo {

    private static  final Logger LOGGER=LogManager.getLogger();
    public static void main(String[] args) {
        String username="${java:os}";

        LOGGER.info("Hello, {}",username);
    }
}

运行结果

[INFO] Building log4j2-bug-test 1.0-SNAPSHOT
[INFO] --------------------------------[ jar ]---------------------------------
[INFO] 
[INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---
2021-12-11 11:44:14,654  INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  1.140 s
[INFO] Finished at: 2021-12-11T11:44:14+08:00
[INFO] ------------------------------------------------------------------------

在这里面我们可以看到使用${}可以实现漏洞的注入,假设username为用户登录的输入框,即可从这个输入框进行注入,既可查看到一些后台系统信息,如果有黑客在使用JNDI编写恶意代码注入的话,后果是非常严重的。

3. log4j2 快速修复措施

修改log4j2版本

据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本,主要是那个log4j-core包,漏洞就是在这个包里产生的,如果你的程序有用到,尽快紧急升级(java项目 fhadmin.cn)。

临时解决方案

1.设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

2.设置“log4j2.formatMsgNoLookups=True”

3.系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

4.关闭对应应用的网络外连,禁止主动外连

Mac Jenkins 部署 SpringBoot 应用到远程服务器
上一篇
.NET网络通信基础Socket编程
下一篇