Log4j今日被曝嚴(yán)重漏洞，作為Java界日志工具的杠把子，Log4j和Logback幾乎統(tǒng)一了江湖，影響面不可謂不大。比如，Apache Struts2、Apache Solr、Apache Druid、Apache Flink、Minecraft 、iCloud整個生態(tài)都受到影響。

因為努力和真誠，有更多的客戶和我們聚集在一起，為了共同目標(biāo)，創(chuàng)新互聯(lián)公司在工作上密切配合，從創(chuàng)業(yè)型企業(yè)到如今不斷成長，要感謝客戶對我們的高要求，讓我們敢于面對挑戰(zhàn)，才有今天的進(jìn)步與發(fā)展。從網(wǎng)站到微信平臺小程序開發(fā),軟件開發(fā),成都app軟件開發(fā)公司,10年企業(yè)網(wǎng)站建設(shè)服務(wù)經(jīng)驗,為企業(yè)提供網(wǎng)站設(shè)計,網(wǎng)站運營一條龍服務(wù).為企業(yè)提供營銷型網(wǎng)站建設(shè),定制網(wǎng)站開發(fā),原創(chuàng)設(shè)計,10年品質(zhì),值得您的信賴.

被影響的版本包括從2.0到2.14.1，跨度比較大。

 
 
 

  
  
  
2.0 <= Apache log4j <= 2.14.1
 
 
 

趕緊瞧一下自己有沒有中招。

通過Debug log4j的代碼，最終定位到發(fā)生問題的代碼?？梢钥吹?，一個日志組件，實現(xiàn)的功能遠(yuǎn)遠(yuǎn)比我們平常使用的要多。

如果用戶打印了下面的日志。

 
 
 

  
  
  
logger.error("${jndi:ldap://127.0.0.1:1389/a}");
 
 
 

那么將會觸發(fā)JndiLookup.java中的方法，主動發(fā)起連接。通過精心構(gòu)造的Playload，即可允許攻擊者執(zhí)行任何代碼。

這是非常危險的。經(jīng)測試，即使使用占位符的方式而不是拼接字符串的方式，也不能避免這個問題。比如，如果用戶在登錄頁面輸入了${jndi:ldap://127.0.0.1:1389/a}，沒有做過濾，又在后端打印了username變量的時候，就會觸發(fā)這個漏洞。

 
 
 

  
  
  
public static void main(String[] args) {
  
  
  
     String username = "${jndi:ldap://127.0.0.1:1389/a}";
  
  
  
     logger.error("用戶名：{}", username);
  
  
  
}
 
 
 

它的影響存在于方方面面，只要你打印了某些東西，這些東西又能被構(gòu)造的話，就會發(fā)生問題。比如你從http頭里面打印了useragent，那么我們就可以把playload塞進(jìn)去。

 
 
 

  
  
  
string userAgent = he.getRequestHeader("user-agent");
  
  
  
    
  
  
  
log.info("Request User Agent:" + userAgent);
  
  
  

  
  
  
String response = "
Hello There, " + userAgent + "!
";
 
 
 

所以，把它稱作史詩級的漏洞，不足為過。

log4j-2.15.0-rc1發(fā)布了緊急補(bǔ)丁。

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

但不久又被發(fā)現(xiàn)依然存在新的問題。所以目前最好的方式是升級到rc2版本。

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

可惜的是，現(xiàn)在我們并沒有在maven的中央倉庫發(fā)現(xiàn)這個版本。你需要自行修復(fù)。

你可以到apache的倉庫中找找。

https://repository.apache.org/content/groups/snapshots/org/apache/logging/log4j/log4j-core/

鑒于更新jar包復(fù)雜的原因，建議直接在JVM啟動參數(shù)里進(jìn)行規(guī)避。不知道怎么改的直接看圖。

 
 
 

  
  
  
-Dlog4j2.formatMsgNoLookups=true
 
 
 

漏洞影響重大，你的公司或許已經(jīng)緊鑼密鼓的開始的打補(bǔ)丁。

祝你好運!

作者簡介：小姐姐味道 (xjjdog)，一個不允許程序員走彎路的公眾號。聚焦基礎(chǔ)架構(gòu)和Linux。十年架構(gòu)，日百億流量，與你探討高并發(fā)世界，給你不一樣的味道。

新聞標(biāo)題：瞎記日志也有錯！Log4j2史詩級漏洞，影響面極大，味道不好聞！
本文網(wǎng)址：http://www.dlmjj.cn/article/dpjgjij.html