漏洞级别
严重
影响版本
Apache Log4j 2.x < 2.15.0-rc2
影响范围
spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响
漏洞描述
Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。此次漏洞是由阿里云安全团队向Apache官方报告的。
解决方案
目前最新的结论还是0day,官方发布的两个版本2.15.0-rc1和最新的2.15.0-rc2都被绕过,官方没有升级包可用。暂时可以通过如下三种解决方案解决该漏洞:
(1) 修改项目 jvm 参数:-Dlog4j2.formatMsgNoLookups=true
(2) 修改log4j2配置参数:log4j2.formatMsgNoLookups=True
(3)修改系统环境变量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置 为 true
注:可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。
源码分析
详情查看:org.apache.logging.log4j.core.pattern.MessagePatternConverter
上述的3个解决方法都是保证在代码执行过程中,代码走如下路径。这样就能避免漏洞的危害。
0 day可能大家会比较陌生,大概意思是目前官方没有修复的版本发布。
最后,我们还是要等待官方修复,大家可以持续关注:
https://github.com/apache/logging-log4j2/tags
如果有新版本,可以让公司的安全团队重新评估后,再考虑是否升级。
- END -
往期回顾
◆作为技术负责人,如何从0搭建公司后端技术栈
◆vivo AI 计算平台 kubernetes 集群弹性伸缩实践
◆MySQL 主键的重要度
◆如何画出一张优秀的架构图(老鸟必备)
◆阿里Oceanbase GitHub点赞送礼事件
◆石墨文档 Websocket 百万长连接技术实践
◆分布式事务框架Seata原理解析
◆三大运营商实现本机号码一键登录原理与应用
技术交流,请加微信: jiagou6688 ,备注:Java,拉你进架构群
