1.log4j2漏洞介紹
1.1簡介
Apache Log4j 2是對Log4j的升級,它比其前身Log4j 1.x提供了重大改進,并提供了Logback中可用的許多改進,同時修復了Logback架構中的一些問題,是目前最優秀的Java日志框架之一,
2021年11月24日,阿里云安全團隊向Apache官方報告了Apache Log4j2遠程代碼執行漏洞,由于Apache Log4j2某些功能存在遞回決議功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞,漏洞利用無需特殊配置,經阿里云安全團隊驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響,阿里云應急回應中心提醒 Apache Log4j2 用戶盡快采取安全措施阻止漏洞攻擊,
通過JNDI注入漏洞,黑客可以惡意構造特殊資料請求包,觸發此漏洞,從而成功利用此漏洞可以在目標服務器上執行任意代碼,注意,此漏洞是可以執行任意代碼,這就很恐怖,相當于黑客已經攻入計算機,可以為所欲為了,就像已經進入你家,想干什么,就干什么,比如運行什么程式,植入什么病毒,變成他的肉雞,
1.2 漏洞評級及影響版本
Apache Log4j 遠程代碼執行漏洞 嚴重
影響的版本范圍:Apache Log4j 2.x <= 2.14.1
2.log4j2 漏洞簡單演示
創建maven工程
引入jar包依賴
<dependencies>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.14.0</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.0</version>
</dependency>
</dependencies>
撰寫log4j2組態檔
<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">
<!--全域引數-->
<Properties>
<Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property>
<Property name="logDir">/data/logs/dust-server</Property>
</Properties>
<Loggers>
<Root level="INFO">
<AppenderRef ref="console"/>
<AppenderRef ref="rolling_file"/>
</Root>
</Loggers>
<Appenders>
<!-- 定義輸出到控制臺 -->
<Console name="console" target="SYSTEM_OUT" follow="true">
<!--控制臺只輸出level及以上級別的資訊-->
<ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout>
<Pattern>${pattern}</Pattern>
</PatternLayout>
</Console>
<!-- 同一來源的Appender可以定義多個RollingFile,定義按天存盤日志 -->
<RollingFile name="rolling_file"
fileName="${logDir}/dust-server.log"
filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">
<ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout>
<Pattern>${pattern}</Pattern>
</PatternLayout>
<Policies>
<TimeBasedTriggeringPolicy interval="1"/>
</Policies>
<!-- 日志保留策略,配置只保留七天 -->
<DefaultRolloverStrategy>
<Delete basePath="${logDir}/" maxDepth="1">
<IfFileName glob="dust-server_*.log" />
<IfLastModified age="7d" />
</Delete>
</DefaultRolloverStrategy>
</RollingFile>
</Appenders>
</Configuration>
創建測驗類Log4j2Demo
public class Log4j2Demo {
private static final Logger LOGGER=LogManager.getLogger();
public static void main(String[] args) {
String username="${java:os}";
LOGGER.info("Hello, {}",username);
}
}
運行結果
[INFO] Building log4j2-bug-test 1.0-SNAPSHOT
[INFO] --------------------------------[ jar ]---------------------------------
[INFO]
[INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---
2021-12-11 11:44:14,654 INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 1.140 s
[INFO] Finished at: 2021-12-11T11:44:14+08:00
[INFO] ------------------------------------------------------------------------
在這里面我們可以看到使用${}可以實作漏洞的注入,假設username為用戶登錄的輸入框,即可從這個輸入框進行注入,既可查看到一些后臺系統資訊,如果有黑客在使用JNDI撰寫惡意代碼注入的話,后果是非常嚴重的,
3. log4j2 快速修復措施
修改log4j2版本
據 Apache 官方最新資訊顯示,release 頁面上已經更新了 Log4j 2.15.0 版本,主要是那個log4j-core包,漏洞就是在這個包里產生的,如果你的程式有用到,盡快緊急升級,
臨時解決方案
-
設定jvm引數 “-Dlog4j2.formatMsgNoLookups=true”
-
設定“log4j2.formatMsgNoLookups=True”
-
系統環境變數“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設定為“true”
-
關閉對應應用的網路外連,禁止主動外連
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/379400.html
標籤:其他
下一篇:Log4j2漏洞執行