Chinaunix首页 | 论坛 | 博客
  • 博客访问: 614375
  • 博文数量: 298
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 3077
  • 用 户 组: 普通用户
  • 注册时间: 2019-06-17 10:57
文章分类

全部博文(298)

文章存档

2022年(96)

2021年(201)

2019年(1)

我的朋友

分类: Java

2021-12-14 14:43:19


点击(此处)折叠或打开


  1. 1.2 漏洞评级及影响版本
  2. Apache Log4j 远程代码执行漏洞 严重

  3. 影响的版本范围:Apache Log4j 2.x <= 2.14.1

  4. 2.log4j2 漏洞简单演示
  5. 创建maven工程
  6. 引入jar包依赖

  7. <dependencies>
  8.         <dependency>
  9.             <groupId>org.apache.logging.log4j</groupId>
  10.             <artifactId>log4j-api</artifactId>
  11.             <version>2.14.0</version>
  12.         </dependency>
  13.         <dependency>
  14.             <groupId>org.apache.logging.log4j</groupId>
  15.             <artifactId>log4j-core</artifactId>
  16.             <version>2.14.0</version>
  17.         </dependency>
  18.     </dependencies>

  19. 编写log4j2配置文件

  20. <?xml version="1.0" encoding="UTF-8"?>
  21. <Configuration status="WARN">

  22.     <!--全局参数-->
  23.     <Properties>
  24.         <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property>
  25.         <Property name="logDir">/data/logs/dust-server</Property>
  26.     </Properties>

  27.     <Loggers>
  28.         <Root level="INFO">
  29.             <AppenderRef ref="console"/>
  30.             <AppenderRef ref="rolling_file"/>
  31.         </Root>
  32.     </Loggers>

  33.     <Appenders>
  34.         <!-- 定义输出到控制台 -->
  35.         <Console name="console" target="SYSTEM_OUT" follow="true">
  36.             <!--控制台只输出level及以上级别的信息-->
  37.             <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
  38.             <PatternLayout>
  39.                 <Pattern>${pattern}</Pattern>
  40.             </PatternLayout>
  41.         </Console>
  42.         <!-- 同一来源的Appender可以定义多个RollingFile,定义按天存储日志 -->
  43.         <RollingFile name="rolling_file"
  44.                      fileName="${logDir}/dust-server.log"
  45.                      filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">
  46.             <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
  47.             <PatternLayout>
  48.                 <Pattern>${pattern}</Pattern>
  49.             </PatternLayout>
  50.             <Policies>
  51.                 <TimeBasedTriggeringPolicy interval="1"/>
  52.             </Policies>
  53.             <!-- 日志保留策略,配置只保留七天 -->
  54.             <DefaultRolloverStrategy>
  55.                 <Delete basePath="${logDir}/" maxDepth="1">
  56.                     <IfFileName glob="dust-server_*.log" />
  57.                     <IfLastModified age="7d" />
  58.                 </Delete>
  59.             </DefaultRolloverStrategy>
  60.         </RollingFile>
  61.     </Appenders>
  62. </Configuration>


  63. 创建测试类Log4j2Demo

  64. //java项目 fhadmin.cn
  65. public class Log4j2Demo {

  66.     private static final Logger LOGGER=LogManager.getLogger();
  67.     public static void main(String[] args) {
  68.         String username="${java:os}";

  69.         LOGGER.info("Hello, {}",username);
  70.     }
  71. }
  72. 运行结果

  73. [INFO] Building log4j2-bug-test 1.0-SNAPSHOT
  74. [INFO] --------------------------------[ jar ]---------------------------------
  75. [INFO]
  76. [INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---
  77. 2021-12-11 11:44:14,654 INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64
  78. [INFO] ------------------------------------------------------------------------
  79. [INFO] BUILD SUCCESS
  80. [INFO] ------------------------------------------------------------------------
  81. [INFO] Total time: 1.140 s
  82. [INFO] Finished at: 2021-12-11T11:44:14+08:00
  83. [INFO] ------------------------------------------------------------------------


  84. 在这里面我们可以看到使用${}可以实现漏洞的注入,假设username为用户登录的输入框,即可从这个输入框进行注入,既可查看到一些后台系统信息,如果有黑客在使用JNDI编写恶意代码注入的话,后果是非常严重的。

  85. 3. log4j2 快速修复措施
  86. 修改log4j2版本
  87. 据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本,主要是那个log4j-core包,漏洞就是在这个包里产生的,如果你的程序有用到,尽快紧急升级(java项目 fhadmin.cn)

  88. 临时解决方案

  89. 1.设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

  90. 2.设置“log4j2.formatMsgNoLookups=True”

  91. 3.系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

  92. 4.关闭对应应用的网络外连,禁止主动外连



阅读(547) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~