Log4j 漏洞修復和臨時補救方法

1.2 漏洞評級及影響版本

Apache Log4j 遠程代碼執行漏洞 嚴重

影響的版本范圍：Apache Log4j 2.x <= 2.14.1

2.log4j2 漏洞簡單演示

創建maven工程
引入jar包依賴

<dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.14.0</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.14.0</version> </dependency> </dependencies> 

編寫log4j2配置文件

<?xml version="1.0" encoding="UTF-8"?> <Configuration status="WARN"> <!--全局參數--> <Properties> <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property> <Property name="logDir">/data/logs/dust-server</Property> </Properties> <Loggers> <Root level="INFO"> <AppenderRef ref="console"/> <AppenderRef ref="rolling_file"/> </Root> </Loggers> <Appenders> <!-- 定義輸出到控制台 --> <Console name="console" target="SYSTEM_OUT" follow="true"> <!--控制台只輸出level及以上級別的信息--> <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/> <PatternLayout> <Pattern>${pattern}</Pattern> </PatternLayout> </Console> <!-- 同一來源的Appender可以定義多個RollingFile，定義按天存儲日志 --> <RollingFile name="rolling_file" fileName="${logDir}/dust-server.log" filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log"> <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/> <PatternLayout> <Pattern>${pattern}</Pattern> </PatternLayout> <Policies> <TimeBasedTriggeringPolicy interval="1"/> </Policies> <!-- 日志保留策略，配置只保留七天 --> <DefaultRolloverStrategy> <Delete basePath="${logDir}/" maxDepth="1"> <IfFileName glob="dust-server_*.log" /> <IfLastModified age="7d" /> </Delete> </DefaultRolloverStrategy> </RollingFile> </Appenders> </Configuration> 

創建測試類Log4j2Demo

//java項目 fhadmin.cn public class Log4j2Demo { private static final Logger LOGGER=LogManager.getLogger(); public static void main(String[] args) { String username="${java:os}"; LOGGER.info("Hello, {}",username); } } 

運行結果

[INFO] Building log4j2-bug-test 1.0-SNAPSHOT [INFO] --------------------------------[ jar ]--------------------------------- [INFO] [INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test --- 2021-12-11 11:44:14,654 INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64 [INFO] ------------------------------------------------------------------------ [INFO] BUILD SUCCESS [INFO] ------------------------------------------------------------------------ [INFO] Total time: 1.140 s [INFO] Finished at: 2021-12-11T11:44:14+08:00 [INFO] ------------------------------------------------------------------------ 

在這里面我們可以看到使用${}可以實現漏洞的注入，假設username為用戶登錄的輸入框，即可從這個輸入框進行注入，既可查看到一些后台系統信息，如果有黑客在使用JNDI編寫惡意代碼注入的話，后果是非常嚴重的。

3. log4j2 快速修復措施
修改log4j2版本
據 Apache 官方最新信息顯示，release 頁面上已經更新了 Log4j 2.15.0 版本，主要是那個log4j-core包，漏洞就是在這個包里產生的，如果你的程序有用到，盡快緊急升級(java項目 fhadmin.cn)。

臨時解決方案

1.設置jvm參數 “-Dlog4j2.formatMsgNoLookups=true”

2.設置“log4j2.formatMsgNoLookups=True”

3.系統環境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設置為“true”

4.關閉對應應用的網絡外連，禁止主動外連