利用:
https://github.com/tangxiaofeng7/apache-log4j-poc
簡單分析+審計:
https://bbs.ichunqiu.com/thread-62322-1-1.html
https://mp.weixin.qq.com/s/-_e_Jk_6F5LZ9qOuheTQxA
https://mp.weixin.qq.com/s/15zcLEk6_x2enszhim9afA
影響版本
Apache Log4j 2.x <= 2.14.1
修復建議:
安全建議
1. 升級Apache Log4j2所有相關應用到最新的 log4j-2.15.0-rc2 版本,地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 升級已知受影響的應用及組件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
3. jvm參數 -Dlog4j2.formatMsgNoLookups=true
4. log4j2.formatMsgNoLookups=True
5. 系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為true
6. 禁止使用log4j的服務器外連出網
7. 使用高版本jdk(如jdk11.0.1、8u191、7u201、6u211或更高版本),因為高版本jdk默認無法利用jndi注入,可在一定程度上限制JNDI等漏洞利用方式。
聲明:本人未使用expdnslog等方式進行漏洞利用,目的僅為收集漏洞信息供日后學習使用。