ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

CVE-2021-44228 - Log4j 2 Vulnerability Log4j的安全漏洞

2021-12-12 14:00:24  阅读:443  来源: 互联网

标签:bin core Vulnerability jar Log4j 2021 apache 2.0 log4j


2021年最后一个月爆出了Log4j的安全漏洞。

CVE 编号为 CVE-2021-44228 , 攻击原理为利用 log4j的 lookups 功能,结合 java 的 RMI (java远程调用)可以使被攻击对象执行攻击者的RMI服务器上的一段Java代码。

因为Log4j被广泛应用于各种应用,甚至包括一些第三方平台和软件,所以,这个影响范围是非常大的。

1.如何排查自己的工程是否引用了存在问题的log4j

  根据Log4j自己的安全漏洞对策,版本2.15.0 以下的log4j2都存在这个漏洞。

  所以在自己的工程里引用了如下Jar包的话,都可能存在被攻击的风险。

apache-log4j-2.0-beta1-bin/log4j-core-2.0-beta1.jar
apache-log4j-2.0-beta2-bin/log4j-core-2.0-beta2.jar
apache-log4j-2.0-beta3-bin/log4j-core-2.0-beta3.jar
apache-log4j-2.0-beta4-bin/log4j-core-2.0-beta4.jar
apache-log4j-2.0-beta5-bin/log4j-core-2.0-beta5.jar
apache-log4j-2.0-beta6-bin/log4j-core-2.0-beta6.jar
apache-log4j-2.0-beta7-bin/log4j-core-2.0-beta7.jar
apache-log4j-2.0-beta8-bin/log4j-core-2.0-beta8.jar
apache-log4j-2.0-beta9-bin/log4j-core-2.0-beta9.jar
apache-log4j-2.0-bin/log4j-core-2.0.jar
apache-log4j-2.0-rc1-bin/log4j-core-2.0-rc1.jar
apache-log4j-2.0-rc2-bin/log4j-core-2.0-rc2.jar
apache-log4j-2.0.1-bin/log4j-core-2.0.1.jar
apache-log4j-2.0.2-bin/log4j-core-2.0.2.jar
apache-log4j-2.1-bin/log4j-core-2.1.jar
apache-log4j-2.2-bin/log4j-core-2.2.jar
apache-log4j-2.3-bin/log4j-core-2.3.jar
apache-log4j-2.4-bin/log4j-core-2.4.jar
apache-log4j-2.4.1-bin/log4j-core-2.4.1.jar
apache-log4j-2.5-bin/log4j-core-2.5.jar
apache-log4j-2.6-bin/log4j-core-2.6.jar
apache-log4j-2.6.1-bin/log4j-core-2.6.1.jar
apache-log4j-2.6.2-bin/log4j-core-2.6.2.jar
apache-log4j-2.7-bin/log4j-core-2.7.jar
apache-log4j-2.8-bin/log4j-core-2.8.jar
apache-log4j-2.8.1-bin/log4j-core-2.8.1.jar
apache-log4j-2.8.2-bin/log4j-core-2.8.2.jar
apache-log4j-2.9.0-bin/log4j-core-2.9.0.jar
apache-log4j-2.9.1-bin/log4j-core-2.9.1.jar
apache-log4j-2.10.0-bin/log4j-core-2.10.0.jar
apache-log4j-2.11.0-bin/log4j-core-2.11.0.jar
apache-log4j-2.11.1-bin/log4j-core-2.11.1.jar
apache-log4j-2.11.2-bin/log4j-core-2.11.2.jar
apache-log4j-2.12.0-bin/log4j-core-2.12.0.jar
apache-log4j-2.12.1-bin/log4j-core-2.12.1.jar
apache-log4j-2.13.0-bin/log4j-core-2.13.0.jar
apache-log4j-2.13.1-bin/log4j-core-2.13.1.jar
apache-log4j-2.13.2-bin/log4j-core-2.13.2.jar
apache-log4j-2.13.3-bin/log4j-core-2.13.3.jar
apache-log4j-2.14.0-bin/log4j-core-2.14.0.jar
apache-log4j-2.14.1-bin/log4j-core-2.14.1.jar
log4j-2.0-alpha1/log4j-core-2.0-alpha1.jar

在Maven工程中使用 dependency tree, 获取依赖包,查看有没有上述嫌疑包被使用。

mvn dependency:tree

2.如何避免这个问题?

  • 排查

如果你的工程确实引用了上述Jar包,首先应该抱着谨慎的态度排查是否你的服务已经受到攻击,排查办法是查看日志内容,看看有没有看起来不自然的日志被写进来。这些不自然的日志如前文所述,都是利用log4j的 lookups 写入的,并且攻击手段很可能是从客户端的输入进入,假设所有合法用户都不会发起攻击的话,重点排查功能应该是Login的日志写入(因为黑客不是合法用户,只能访问到Login画面),例如,login功能的日志有没有写入用户名的操作等。

如果排查到确实有被攻击的痕迹,就需要根据怀疑被攻击的内容,对服务器的安全设施做一些调整。

  • 升级Log4j

Log4j的2.15.0已经修复了这个问题,因此升级可以确保今后不再发生同样的问题。

  • 其他手段

如果升级比较困难,那么设置Java启动参数log4j2.formatMsgNoLookups 为 true 也可以避免这个问题

例如(Web容器的设置方法请参考各个容器的说明):

java -Dlog4j2.formatMsgNoLookups=true -jar myapp.jar

 

 

标签:bin,core,Vulnerability,jar,Log4j,2021,apache,2.0,log4j
来源: https://www.cnblogs.com/WestContinent/p/15679035.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有