瞎记日志也有错!Log4j2史诗级漏洞,影响面极大,味道不好闻!

Log4j今日被曝严重漏洞,作为Java界日志工具的杠把子,Log4j和Logback几乎统一了江湖,影响面不可谓不大。比如,Apache Struts2、Apache Solr、Apache Druid、Apache Flink、Minecraft 、iCloud整个生态都受到影响。

因为努力和真诚,有更多的客户和我们聚集在一起,为了共同目标,创新互联公司在工作上密切配合,从创业型企业到如今不断成长,要感谢客户对我们的高要求,让我们敢于面对挑战,才有今天的进步与发展。从网站到微信平台小程序开发,软件开发,成都app软件开发公司,10年企业网站建设服务经验,为企业提供网站设计,网站运营一条龙服务.为企业提供营销型网站建设,定制网站开发,原创设计,10年品质,值得您的信赖.

被影响的版本包括从2.0到2.14.1,跨度比较大。

 
 
 
    
  
  
  
  1. 2.0 <= Apache log4j <= 2.14.1
    2.

赶紧瞧一下自己有没有中招。

通过Debug log4j的代码,最终定位到发生问题的代码。可以看到,一个日志组件,实现的功能远远比我们平常使用的要多。

如果用户打印了下面的日志。

 
 
 
    
  
  
  
  1. logger.error("${jndi:ldap://127.0.0.1:1389/a}");
    2.

那么将会触发JndiLookup.java中的方法,主动发起连接。通过精心构造的Playload,即可允许攻击者执行任何代码。

这是非常危险的。经测试,即使使用占位符的方式而不是拼接字符串的方式,也不能避免这个问题。比如,如果用户在登录页面输入了${jndi:ldap://127.0.0.1:1389/a},没有做过滤,又在后端打印了username变量的时候,就会触发这个漏洞。

 
 
 
    
  
  
  
  1. public static void main(String[] args) {
    2. 
  
  
  
  2.      String username = "${jndi:ldap://127.0.0.1:1389/a}";
    3. 
  
  
  
  3.      logger.error("用户名:{}", username);
    4. 
  
  
  
  4. }
    5.

它的影响存在于方方面面,只要你打印了某些东西,这些东西又能被构造的话,就会发生问题。比如你从http头里面打印了useragent,那么我们就可以把playload塞进去。

 
 
 
    
  
  
  
  1. string userAgent = he.getRequestHeader("user-agent");
    2. 
  
  
  
  2.     
    3. 
  
  
  
  3. log.info("Request User Agent:" + userAgent);
    4. 
  
  
  
  4. 
  
  
  
  5. String response = "
    Hello There, " + userAgent + "!
    ";
    6.

所以,把它称作史诗级的漏洞,不足为过。

log4j-2.15.0-rc1发布了紧急补丁。

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

但不久又被发现依然存在新的问题。所以目前最好的方式是升级到rc2版本。

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

可惜的是,现在我们并没有在maven的中央仓库发现这个版本。你需要自行修复。

你可以到apache的仓库中找找。

https://repository.apache.org/content/groups/snapshots/org/apache/logging/log4j/log4j-core/

鉴于更新jar包复杂的原因,建议直接在JVM启动参数里进行规避。不知道怎么改的直接看图。

 
 
 
    
  
  
  
  1. -Dlog4j2.formatMsgNoLookups=true
    2.

漏洞影响重大,你的公司或许已经紧锣密鼓的开始的打补丁。

祝你好运!

作者简介:小姐姐味道 (xjjdog),一个不允许程序员走弯路的公众号。聚焦基础架构和Linux。十年架构,日百亿流量,与你探讨高并发世界,给你不一样的味道。

文章名称:瞎记日志也有错!Log4j2史诗级漏洞,影响面极大,味道不好闻!
标题路径:http://www.shufengxianlan.com/qtweb/news42/230992.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

品牌网站制作知识

同城分类信息

注册域名    云主机    宜宾做网站    成都棕树电信机房    成都网站排名    php空间    南充主机托管    古巴雪茄    微信小程序公众号开发    广汉长尔科技    高县网站建设    背发光字    江油做网站    正泰动物    成都棕树机房    成都网站推广公司    巴中倍辉科技    成都网站建设    SF双层罐    香港空间