什么是LOG4j?
Log4j是Apache的一個開源項目,通過使用Log4j,我們可以控制日志信息輸送的目的地是控制台、文件、GUI組件,甚至是套接口服務器、NT的事件記錄器、UNIX Syslog守護進程等;我們也可以控制每一條日志的輸出格式;通過定義每一條日志信息的級別,我們能夠更加細致地控制日志的生成過程。最令人感興趣的就是,這些可以通過一個配置文件來靈活地進行配置,而不需要修改應用的代碼。
漏洞成因
lookup
根據官方文檔,log4j可以使用 ${java:xx} 的形式進行一些信息的查詢
同時,log4j還允許使用jndi的方式進行查詢
從這里就導致了擁有log4j的組件的服務器可以對其他機器進行一個訪問的行為
漏洞復現
一個簡短的POC
成功接受到信息
可以直接利用jndi注入工具來實現rce
彈個計算器
總結
總體來說,明明就是一個日志組件,卻想讓他什么活都能干,結果就是給他的功能給多了,導致現在爆出這樣的一個漏洞
修復方案:
升級組件至 rc2版本
參考文章:
https://xz.aliyun.com/t/10649#toc-3