共计 1071 个字符,预计需要花费 3 分钟才能阅读完成。
12 月 10 日凌晨,Apache 开源我的项目 Log4j2 的近程代码执行破绽细节被公开,破绽威逼等级为:重大。
Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰盛个性,让用户能够管制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者可能更加粗疏地管制日志的生成过程。
Log4j 是目前寰球应用最宽泛的 java 日志框架之一。该破绽还影响着很多寰球使用量前列的开源组件,如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。因为该破绽利用形式简略,一旦有攻击者利用该破绽,就能够在指标服务器上执行任意代码,给被攻击者造成极大危害。
破绽细节
此次破绽次要是 Log4j2 内含的 lookup 性能存在 JNDI 注入破绽,该性能能够帮忙开发者通过一些协定读取相应环境中的配置。破绽触发形式非常简单,只有日志内容中蕴含关键词 ${,那么这外面蕴含的内容就能够作为变量进行替换,攻击者无需任何权限,能够执行任意命令。
此次破绽影响的版本为:Apache Log4j 2.x <= 2.14.1
同时如果您应用了以下利用,也会被此次破绽影响:
- Spring-Boot-strater-log4j2
- Apache Struts2
- Apache Solr
- Apache Flink
- Apache Druid
- ElasticSearch
- flume
- dubbo
- logstash
- kafka
破绽修复
目前厂商曾经公布了新版本 log4j-2.15.0-rc2,该版本曾经修复了破绽。心愿大家可能尽快降级到新版本。
官网链接:https://github.com/apache/log…
如果您临时不不便进行版本升级,您也能够通过以下办法进行应急解决,并在不便的时候尽快实现版本升级:
- 批改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
- 批改配置 log4j2.formatMsgNoLookups=True
- 将零碎环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
无论是前年 Apach Shiro 的 cookie 长久化参数 rememberMe 加密算法存在破绽,还是去年 5 月的 Fastjson 近程代码执行破绽通告。网络安全仿佛总是存在各种各样的问题,然而发现破绽并修复破绽自身就是对平安进行的一次降级。进行不动的平安形式很快就会被攻破,只有继续一直地更新与降级才是真正的网络安全。
举荐浏览
CSS 盒子的边距塌陷
热门剧本杀与 SaaS 的不解之缘