溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

全網(wǎng)最新Log4j?漏洞修復(fù)和臨時(shí)補(bǔ)救方法是什么

發(fā)布時(shí)間:2021-12-15 10:41:02 來源:億速云 閱讀:209 作者:柒染 欄目:開發(fā)技術(shù)

這篇文章給大家介紹全網(wǎng)最新Log4j 漏洞修復(fù)和臨時(shí)補(bǔ)救方法是什么,內(nèi)容非常詳細(xì),感興趣的小伙伴們可以參考借鑒,希望對(duì)大家能有所幫助。

1. 漏洞評(píng)級(jí)及影響版本

Apache Log4j 遠(yuǎn)程代碼執(zhí)行漏洞 嚴(yán)重

影響的版本范圍:Apache Log4j 2.x <= 2.14.1

2.log4j2 漏洞簡單演示

創(chuàng)建maven工程
引入jar包依賴

<dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.0</version>
        </dependency>
    </dependencies>

編寫log4j2配置文件

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">

    <!--全局參數(shù)-->
    <Properties>
        <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property>
        <Property name="logDir">/data/logs/dust-server</Property>
    </Properties>

    <Loggers>
        <Root level="INFO">
            <AppenderRef ref="console"/>
            <AppenderRef ref="rolling_file"/>
        </Root>
    </Loggers>

    <Appenders>
        <!-- 定義輸出到控制臺(tái) -->
        <Console name="console" target="SYSTEM_OUT" follow="true">
            <!--控制臺(tái)只輸出level及以上級(jí)別的信息-->
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout>
                <Pattern>${pattern}</Pattern>
            </PatternLayout>
        </Console>
        <!-- 同一來源的Appender可以定義多個(gè)RollingFile,定義按天存儲(chǔ)日志 -->
        <RollingFile name="rolling_file"
                     fileName="${logDir}/dust-server.log"
                     filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout>
                <Pattern>${pattern}</Pattern>
            </PatternLayout>
            <Policies>
                <TimeBasedTriggeringPolicy interval="1"/>
            </Policies>
            <!-- 日志保留策略,配置只保留七天 -->
            <DefaultRolloverStrategy>
                <Delete basePath="${logDir}/" maxDepth="1">
                    <IfFileName glob="dust-server_*.log" />
                    <IfLastModified age="7d" />
                </Delete>
            </DefaultRolloverStrategy>
        </RollingFile>
    </Appenders>
</Configuration>

創(chuàng)建測(cè)試類Log4j2Demo

//java項(xiàng)目 fhadmin.cn
public class Log4j2Demo {

    private static  final Logger LOGGER=LogManager.getLogger();
    public static void main(String[] args) {
        String username="${java:os}";

        LOGGER.info("Hello, {}",username);
    }
}

運(yùn)行結(jié)果

[INFO] Building log4j2-bug-test 1.0-SNAPSHOT

[INFO] --------------------------------[ jar ]---------------------------------

[INFO] 

[INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---

2021-12-11 11:44:14,654  INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64

[INFO] ------------------------------------------------------------------------

[INFO] BUILD SUCCESS

[INFO] ------------------------------------------------------------------------

[INFO] Total time:  1.140 s

[INFO] Finished at: 2021-12-11T11:44:14+08:00

[INFO] ------------------------------------------------------------------------

在這里面我們可以看到使用${}可以實(shí)現(xiàn)漏洞的注入,假設(shè)username為用戶登錄的輸入框,即可從這個(gè)輸入框進(jìn)行注入,既可查看到一些后臺(tái)系統(tǒng)信息,如果有黑客在使用JNDI編寫惡意代碼注入的話,后果是非常嚴(yán)重的。

3. log4j2 快速修復(fù)措施

修改log4j2版本
據(jù) Apache 官方最新信息顯示,release 頁面上已經(jīng)更新了 Log4j 2.15.0 版本,主要是那個(gè)log4j-core包,漏洞就是在這個(gè)包里產(chǎn)生的,如果你的程序有用到,盡快緊急升級(jí)(java項(xiàng)目 fhadmin.cn)。

臨時(shí)解決方案

1.設(shè)置jvm參數(shù) “-Dlog4j2.formatMsgNoLookups=true”

2.設(shè)置“l(fā)og4j2.formatMsgNoLookups=True”

3.系統(tǒng)環(huán)境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設(shè)置為“true”

4.關(guān)閉對(duì)應(yīng)應(yīng)用的網(wǎng)絡(luò)外連,禁止主動(dòng)外連

關(guān)于全網(wǎng)最新Log4j 漏洞修復(fù)和臨時(shí)補(bǔ)救方法是什么就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI