1.2 漏洞評(píng)級(jí)及影響版本

Apache Log4j 遠(yuǎn)程代碼執(zhí)行漏洞 嚴(yán)重

影響的版本范圍：Apache Log4j 2.x <= 2.14.1

2.log4j2 漏洞簡(jiǎn)單演示

創(chuàng)建maven工程

引入jar包依賴

<dependencies>

? ? ? ? <dependency>

? ? ? ? ? ? <groupId>org.apache.logging.log4j</groupId>

? ? ? ? ? ? <artifactId>log4j-api</artifactId>

? ? ? ? ? ? <version>2.14.0</version>

? ? ? ? </dependency>

? ? ? ? <dependency>

? ? ? ? ? ? <groupId>org.apache.logging.log4j</groupId>

? ? ? ? ? ? <artifactId>log4j-core</artifactId>

? ? ? ? ? ? <version>2.14.0</version>

? ? ? ? </dependency>

? ? </dependencies>

編寫log4j2配置文件

<?xml version="1.0" encoding="UTF-8"?>

<Configuration status="WARN">

? ? <!--全局參數(shù)-->

? ? <Properties>

? ? ? ? <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property>

? ? ? ? <Property name="logDir">/data/logs/dust-server</Property>

? ? </Properties>

? ? <Loggers>

? ? ? ? <Root level="INFO">

? ? ? ? ? ? <AppenderRef ref="console"/>

? ? ? ? ? ? <AppenderRef ref="rolling_file"/>

? ? ? ? </Root>

? ? </Loggers>

? ? <Appenders>

? ? ? ? <!-- 定義輸出到控制臺(tái) -->

? ? ? ? <Console name="console" target="SYSTEM_OUT" follow="true">

? ? ? ? ? ? <!--控制臺(tái)只輸出level及以上級(jí)別的信息-->

? ? ? ? ? ? <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>

? ? ? ? ? ? <PatternLayout>

? ? ? ? ? ? ? ? <Pattern>${pattern}</Pattern>

? ? ? ? ? ? </PatternLayout>

? ? ? ? </Console>

? ? ? ? <!-- 同一來(lái)源的Appender可以定義多個(gè)RollingFile，定義按天存儲(chǔ)日志 -->

? ? ? ? <RollingFile name="rolling_file"

? ? ? ? ? ? ? ? ? ? fileName="${logDir}/dust-server.log"

? ? ? ? ? ? ? ? ? ? filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">

? ? ? ? ? ? <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>

? ? ? ? ? ? <PatternLayout>

? ? ? ? ? ? ? ? <Pattern>${pattern}</Pattern>

? ? ? ? ? ? </PatternLayout>

? ? ? ? ? ? <Policies>

? ? ? ? ? ? ? ? <TimeBasedTriggeringPolicy interval="1"/>

? ? ? ? ? ? </Policies>

? ? ? ? ? ? <!-- 日志保留策略，配置只保留七天 -->

? ? ? ? ? ? <DefaultRolloverStrategy>

? ? ? ? ? ? ? ? <Delete basePath="${logDir}/" maxDepth="1">

? ? ? ? ? ? ? ? ? ? <IfFileName glob="dust-server_*.log" />

? ? ? ? ? ? ? ? ? ? <IfLastModified age="7d" />

? ? ? ? ? ? ? ? </Delete>

? ? ? ? ? ? </DefaultRolloverStrategy>

? ? ? ? </RollingFile>

? ? </Appenders>

</Configuration>

創(chuàng)建測(cè)試類Log4j2Demo

//java項(xiàng)目 fhadmin.cn

public class Log4j2Demo {

? ? private static? final Logger LOGGER=LogManager.getLogger();

? ? public static void main(String[] args) {

? ? ? ? String username="${java:os}";

? ? ? ? LOGGER.info("Hello, {}",username);

? ? }

}

運(yùn)行結(jié)果

[INFO] Building log4j2-bug-test 1.0-SNAPSHOT

[INFO] --------------------------------[ jar ]---------------------------------

[INFO]

[INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---

2021-12-11 11:44:14,654? INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64

[INFO] ------------------------------------------------------------------------

[INFO] BUILD SUCCESS

[INFO] ------------------------------------------------------------------------

[INFO] Total time:? 1.140 s

[INFO] Finished at: 2021-12-11T11:44:14+08:00

[INFO] ------------------------------------------------------------------------

在這里面我們可以看到使用${}可以實(shí)現(xiàn)漏洞的注入，假設(shè)username為用戶登錄的輸入框，即可從這個(gè)輸入框進(jìn)行注入，既可查看到一些后臺(tái)系統(tǒng)信息，如果有黑客在使用JNDI編寫惡意代碼注入的話，后果是非常嚴(yán)重的。

3. log4j2 快速修復(fù)措施

修改log4j2版本

據(jù) Apache 官方最新信息顯示，release 頁(yè)面上已經(jīng)更新了 Log4j 2.15.0 版本，主要是那個(gè)log4j-core包，漏洞就是在這個(gè)包里產(chǎn)生的，如果你的程序有用到，盡快緊急升級(jí)(java項(xiàng)目 fhadmin.cn)。

臨時(shí)解決方案

1.設(shè)置jvm參數(shù) “-Dlog4j2.formatMsgNoLookups=true”

2.設(shè)置“l(fā)og4j2.formatMsgNoLookups=True”

3.系統(tǒng)環(huán)境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設(shè)置為“true”

4.關(guān)閉對(duì)應(yīng)應(yīng)用的網(wǎng)絡(luò)外連，禁止主動(dòng)外連