| 閱文時長 | | 0.51分鐘 | 字數統計 | | 827.2字符 |
| 主要內容 | | 1、引言&背景 2、檢查依賴項中是否依賴了Log4J 3、偵測工具偵測結果 4、宣告與參考資料 | ||
| 『記Java程式Log4J漏洞的解決程序』 | |||
| 撰寫人 | | SCscHero | 撰寫時間 | | 2022/1/2 PM6:35 |
| 文章型別 | | 系列 | 完成度 | | 已完成 |
| 座右銘 | 每一個偉大的事業,都有一個微不足道的開始, | ||
一、引言&背景 完成度:100%
a) 問題&時間線
- 開始知道Log4J漏洞是公司的安全郵件:大約是21年12月10號下午收到的郵件,知道了這個組件的漏洞,
- 我是在11號下午對Log4J組件做的修復(實際上時間已經晚了,我們另一個Java團隊就在10號晚上當天做了升級):我們主要是使用的.Net技術堆疊,少部分使用的是Python、Java Spring Boot的WebAPI結構,后來和幾個搞網安的朋友以及搞Java的朋友討論了一下,并且參加了公司組織的安全運維的會議,制定了解決方案,最后用長亭的工具掃描了沒問題了,匯報了老板,
- 那么寫這篇文章時間現在已經是元旦了,確實很晚了,之前忙于開發任務沒時間寫博文,現在元旦得空了寫寫記錄一下,相信很多朋友已經經歷完了這個漏洞,如果還有朋友沒搞得,希望也能幫助一點吧~??????
b) Log4J漏洞影響范圍
- 使用了Log4J版本大于2.0且小于 2.15.0-rc1,
- 使用Apache Log4j 1.X版本的應用,若開發者對JMS Appender利用不當,可對應用產生潛在的安全影響,
c) 解決思路
- 先根據Log4J的影響范圍,需要確認專案中是否使用了Log4J組件,手動檢查Maven的依賴項,以及依賴項的依賴項中是否存在,詳情可見第二章的一種方法,當然也有很多辦法都可以參考,
- 若使用了Log4J組件,且版本在漏洞影響范圍內,則需制定方案,
- 【方案1】按照Log4J2最新推出的版本進行升級,升級到Apache官方打Patch的版本,
- 【方案2】替換掉Log4J的組件,一Java朋友建議替換成LogBack,
- 【方案3-緩解措施】添加jvm啟動引數:-Dlog4j2.formatMsgNoLookups=true;在應用classpath下添加log4j2.component.properties組態檔,檔案內容為:log4j2.formatMsgNoLookups=true;JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;限制受影回應用對外訪問互聯網,并在邊界對dnslog相關域名訪問進行檢測,
- 通過一個安全運維大佬們都推薦的鏈接:https://log4j2-detector.chaitin.cn/,下載偵測工具,檢驗下效果,我用的是V2版本的偵測工具,
二、檢查依賴項中是否依賴了Log4J 完成度:100%
記一個方法,IDEA的可視化工具,可以反饋出依賴項是否又依賴了Log4J,在Maven專案中右擊Show Dependencies,
顯示如下圖:
三、偵測工具偵測結果 完成度:100%
使用了偵測工具掃描結果如圖:
四、宣告與參考資料 完成度:100%
原創博文,未經許可請勿轉載,
如有幫助,歡迎點贊、收藏、關注,如有問題,請評論留言!如需與博主聯系的,直接博客私信SCscHero即可,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/401415.html
標籤:其他