Apache-log4j必须升级到2.16.01.漏洞来龙去脉
Log4j的重大漏洞,相信关注的同学们都知道是怎么回事了,对于不知道的同学们我在这里简单的插播一下内容:
Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。 该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊 的数据请求包,最终触发远程代码执行。 该漏洞危害等级:严重 影响范围:2.0 <= Apache log4j2 <= 2.14.1演示:
1、新建一个maven 项目
2、添加如下依赖
org.apache.logging.log4j log4j-core 2.14.0 org.apache.logging.log4j log4j-api 2.14.0
3、编写 Java 代码
public class Log4jErrorTest {
private static final Logger logger = LogManager.getLogger();
public static void main(String[] args) {
// 注意这个变量
String error = "${java:vm}";
logger.error("==============Log4jErrorInfo,{}", error);
}
}
4、结果
以上代码演示过程参考 Log4j重大漏洞、看看我怎么重现与解决
5、解决办法
因为太简单就不自己尝试了,说主要问题,上述文章中给出了两种解决办法(同时我看了其他文章也大概都是这两个方法)。
方法一:排除掉log4j的依赖 方法二:升级版本,直接升到 2.15.0 版本
第一种方法无可厚非,简单粗暴,根子上解决了,但是如果有日志打印就绕不开依赖(专指log4j),那么第二种方法就稳了吗,其实不然。
真正解决漏洞的方法Apache log4j升级到2.16.0,该版本默认禁用了JNDI并删除了消息查找功能。2.15.0版本仍有可能存在漏洞,虽然修复了JNDI的漏洞,但是其他的漏洞,可能会导致DOS(但不是RCE)。
官网解释如下:
