全网最新Log4j 漏洞修复和临时补救方法

全网最新Log4j 漏洞修复和临时补救方法

1. 漏洞评级及影响版本

Apache Log4j 远程代码执行漏洞 严重

影响的版本范围：Apache Log4j 2.x <= 2.14.1

2.log4j2 漏洞简单演示

创建maven工程

引入jar包依赖

dNZciB

org.apache.logging.log4j

log4j-api

2.14.0

org.apache.logging.log4j

log4j-core

2.14.0

编写log4j2配置文件

%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n

/data/logs/dust-server

${pattern}

fileName="${logDir}/dust-server.log"

filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">

${pattern}

fileName="${logDir}/dust-server.log"

filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">

${pattern}

创建测试类Log4j2Demo

//java项目 fhadmin-

public class Log4j2Demo {

private static final Logger LOGGER=LogManager.getLogger();

public static void main(String[] args) {

String username="${java:os}";

LOGGER.info("Hello, {}",username);

}

}

运行结果

[INFO] Building log4j2-bug-test 1.0-SNAPSHOT

[INFO] --------------------------------[ jar ]---------------------------------

[INFO]

[INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---

2021-12-11 11:44:14,654 INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64

[INFO] ------------------------------------------------------------------------

[INFO] BUILD SUCCESS

[INFO] ------------------------------------------------------------------------

[INFO] Total time: 1.140 s

[INFO] Finished at: 2021-12-11T11:44:14+08:00

[INFO] ------------------------------------------------------------------------

在这里面我们可以看到使用${}可以实现漏洞的注入，假设username为用户登录的输入框，即可从这个输入框进行注入，既可查看到一些后台系统信息，如果有黑客在使用JNDI编写恶意代码注入的话，后果是非常严重的。

3. log4j2 快速修复措施

修改log4j2版本

据 Apache 官方最新信息显示，release 页面上已经更新了 Log4j 2.15.0 版本，主要是那个log4j-core包，漏洞就是在这个包里产生的，如果你的程序有用到，尽快紧急升级(java项目 fhadmin-)。

临时解决方案

1.设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

2.设置“log4j2.formatMsgNoLohttp://okups=True”

3.系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

4.关闭对应应用的网络外连，禁止主动外连

Apache Log4j2 报核弹级漏洞快速修复方法

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。