log4j的bug演示与修复

最新推荐文章于 2024-05-10 13:38:26 发布
最新推荐文章于 2024-05-10 13:38:26 发布
阅读量3.5k 收藏 1
点赞数 1
分类专栏: log4j 文章标签: java 服务器 安全 log4j log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JustMyLive/article/details/122152193
版权

文章目录

1、描述

在 Apache Log4j2 版本(最高包括 2.14.1)(不包括安全发布版 2.3.1、2.12.2 和 2.12.3)中,在配置、日志消息和参数中使用的 JNDI 功能部件不能抵御攻击者控制的 LDAP 和其他 JNDI 相关的端点的攻击。启用消息查找替换后,能够控制日志消息或日志消息参数的攻击者可以执行从 LDAP 服务器加载的任意代码。从 2.0-beta9 到 2.14.1 的所有版本皆收到影响。

2、Log4j版本详细信息

从 Log4j 2.15.0 开始,默认情况下禁用消息查找功能。配置中的查找仍然有效。虽然 Log4j 2.15.0 有一个选项可以以这种方式启用查找,但强烈建议用户不要启用它。为 JNDI 连接引入了白名单机制,缺省情况下只允许本地主机。发现 2.15.0 版本存在其他漏洞,因此不建议使用。
从版本 2.16.0(对于 Java 8)开始,消息查找功能已完全删除。配置中的查找仍然有效。此外,Log4j 现在缺省情况下会禁用对 JNDI 的访问。现在需要显式启用配置中的 JNDI 查找。建议用户不要在 Log4j 2.16.0 中启用 JNDI,因为它仍然允许 LDAP 连接。如果需要 JMS 追加器,请使用以下版本之一:2.3.1、2.12.2、2.12.3 或 2.17.0:从这些版本开始,JNDI 连接中仅支持 JAVA 协议。
从版本 2.12.2(对于 Java 7)和 2.3.1(对于 Java 6),消息查找功能已被完全删除。配置中的查找仍然有效。此外,Log4j 现在缺省情况下会禁用对 JNDI 的访问。现在需要显式启用配置中的 JNDI 查找。启用后,JNDI 将仅支持 JAVA 协议,对 LDAP 协议的支持已被删除。
从版本 2.17.0(对于 Java 8)开始,对 LDAP 协议的支持已被删除,并且 JNDI 连接中仅支持 JAVA 协议。
从版本 2.17.0(对于 Java 8)、2.12.3(对于 Java 7)和 2.3.1(对于 Java 6),启用 JNDI 的属性已从 ‘log4j2.enableJndi’ 重命名为三个单独的属性:“log4j2.enableJndiLookup”、"log4j2.enableJndiJms"和 “log4j2.enableJndiContextSelector”。

3、Log4j官网发布的缓解措施

3.1、Log4j 1.x缓解措施

Log4j 1.x没有查找,因此风险较低。使用 Log4j 1.x 的应用程序仅在其配置中使用 JNDI 时才容易受到此攻击。已针对此漏洞提交了一个单独的 CVE (CVE-2021-4104)。缓解措施:审核日志记录配置,以确保它没有配置 JMSAppender。没有 JMSAppender 的 Log4j 1.x 配置不受此漏洞的影响。

3.2、Log4j 2.x缓解措施

实现以下缓解技术之一:

  1. 升级到 Log4j 2.3.1(适用于 Java 6)、2.12.3(适用于 Java 7)或 2.17.0(适用于 Java 8 及更高版本)。
  2. 否则,在 2.16.0 以外的任何发行版中,您可以从类路径中删除 JndiLookup 类:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class。
    请注意,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。
    另请注意,Apache Log4j 是唯一受此漏洞影响的日志记录服务子项目。其他项目,如Log4net和Log4cxx不受此影响。

3.3、不可信的缓解措施

在2.15.0版本中,当配置有包含上下文查找的模块(例如,$${ctx:loginId})时仍然容易受到攻击。当攻击者可以控制线程上下文时,他们可能会注入JNDI Lookup模块,该模块将导致 JNDI 连接。虽然 Log4j 2.15.0 尽最大努力尝试将 JNDI 连接限制在本地,但仍有一些方法可以绕过此操作,用户不应依赖此连接。
为此提出了新的 CVE(CVE-2021-45046)。
缓解措施包括:对于 >= 2.10 的版本,将系统属性 log4j2.formatMsgNoLookups 或环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true;对于 >= 2.7 和 <= 2.14.1 的版本,将修改日志记录配置以禁用使用 %m{nolookups}、%msg{nolookups} 或 %message{nolookups} 进行消息查找。
这些措施不足的原因是,除了上面提到的线程上下文攻击媒介之外,Log4j中仍然存在可能发生消息查找的代码路径:已知示例是使用Logger.printf("%s",userInput)的应用程序,或者使用自定义消息工厂的应用程序,其中生成的消息不实现StringBuilderFormattable。可能还有其他攻击媒介。
最安全的做法是将 Log4j 升级到安全版本,或者从 log4j-core jar 中删除 JndiLookup 类。

4、Spring官网发布的log4j2的漏洞缓解措施

Log4J2漏洞可以允许攻击者远程执行代码。该漏洞已在Log4J -core jar中使用CVE-2021-44228报告,并已在Log4J v2.15.0中修复。
Spring Boot用户只有在将默认日志系统切换到Log4J2时才会受到此漏洞的影响。在spring-boot-starter-logging中包含的log4j-to-slf4j和log4j-api jar不能单独使用。只有使用log4j-core并在日志消息中包含用户输入的应用程序才容易受到攻击。
即将发布的v2.5.8和v2.6.2版本(2021年12月23日发布)将采用Log4J v2.17.0,但由于这是一个如此严重的漏洞,如果需要覆盖Spring的依赖管理,并尽快升级Log4J2依赖。Spring提供了以下缓解措施。

4.1、Gradle

对于Gradle用户,可以按照下面的说明更新version属性,导入BOM或者使用aresolutionStrategy。

  1. 对于大多数用户,设置log4j2。版本属性就足够了:
ext['log4j2.version'] = '2.17.0'
  1. 如果使用的是Gradle的平台支持,而不是spring的依赖管理插件,那么可以在Log4J BOM中添加一个依赖:
implementation(platform("org.apache.logging.log4j:log4j-bom:2.17.0"))
  1. 如果无法使用这两个方法中的任何一个,那么可以声明一个resoltionstrategy:
configurations.all {
	resolutionStrategy.eachDependency { DependencyResolveDetails details ->
		if (details.requested.group == 'org.apache.logging.log4j') {
			details.useVersion '2.17.0'
		}
	}
}

无论选择哪种方法,若要检查是否已应用替代,都可以运行以下命令查看版本:

./gradlew dependencyInsight --dependency log4j-core

4.2、Maven

对于Maven用户,您可以按照这些说明并设置log4j2。版本属性。
4. 如果正在使用父POM,可以设置log4j2。版本属性:

<properties>
    <log4j2.version>2.17.0</log4j2.version>
</properties>
  1. 如果没有使用父POM,而是导入spring-boot-dependencies,你需要使用一个<dependencyManagement>:
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-bom</artifactId>
            <version>2.17.0</version>
            <scope>import</scope>
            <type>pom</type>
        </dependency>
        ... other dependencies including spring-boot-dependencies
    </dependencies>
</dependencyManagement>

要检查是否应用了覆盖,运行./mvnw dependency:list | grep log4j,并检查版本为2.17.0。

5、复现Log4j的bug

1、复现攻击方服务
在这里插入图片描述
在这里插入图片描述
2、复现被攻击方服务
在这里插入图片描述
3、部署服务,复现攻击
在这里插入图片描述
4、攻击结果
在这里插入图片描述

6、缓解Log4j的bug

1、使用启动服务时增加log4j2.formatMsgNoLookups配置缓解
在这里插入图片描述
再次复现攻击
在这里插入图片描述
正常输出,未发生远程请求调用
在这里插入图片描述
2、 使用Spring官网提供的gradle的第三种方式缓解
修改log4j依赖关系
在这里插入图片描述
部署服务,再次复现攻击
在这里插入图片描述
正常输出,未发生远程请求调用
在这里插入图片描述

7、数据来源

1、 Log4j官网:
Log4j – Apache Log4j2
Log4j – Apache Log4j Security Vulnerabilities
2、 Sping 官网:
Log4J2 Vulnerability and Spring Boot

苗.sir
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2漏洞源码分析
weixin_45682070的博客
12-14 3579
前言: 上篇分析了jndi+ldap的利用,这两天新爆出来的漏洞log4j2中,结合恶意payload可执行远程恶意代码 影响范围:Apache Log4j 2.x < 2.15.0-rc2,而且利用难度低,利用要求少 紧急缓解措施(最好升级最新版本): (1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true (2) 修改配置log4j2.formatMsgNoLookups=True (3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISAB
2021年末爆发 Log4j 的史诗级Bug漏洞?5分钟教你如何手把手实现
q1472750149的博客
12-11 4583
2021年12月10日凌晨前,网上曝出了 log4j 的核弹级漏洞,这种漏洞超级高危,操作简单,利用方便,适用范围广,可以直接任意代码执行,接管你的服务器。 此处思考曝光者凌晨曝光的原因,或许选择凌晨曝光,想着无数工程师半夜起来紧急修复,让 TA 产生了变态的快感。 我知道你们是想看什么的,就是想看如何演示,不过还是先看下如何修复,提高下安全意识。 0x01. 漏洞情况 Apache Log4j2是一款优秀的Java日志框架。由于 Apache Log4j2 某些功能存在递归解析功能,攻..
Java最全log4j2核弹级漏洞原理和分析,3年Java开发工程师面试经验分享
最新发布
2301_79099416的博客
05-10 1008
光给面试题不给答案不是我的风格。这里面的面试题也只是凤毛麟角,还有答案的话会极大的,减少文章的可读性。
buglog4j
z_x_1000的专栏
03-05 1013
问题描述:今儿遇到个bugjava.lang.NoSuchMethodError: org.apache.log4j.Logger.isTraceEnabled()Z 上图: 原因:应该是log包和hibernate自带包冲突了,解决方法: 删除任一一包即可。
在流行的 Java 日志库 log4j 中发现了严重的 RCE 零日漏洞
学海无涯苦作舟的博客
12-11 1356
log4j 中发现了一个严重的远程代码执行漏洞,这是一种非常流行的日志工具,被大多数行业使用。它非常严重,几乎影响到所有运行 Java服务器,而且很容易被利用,因此您需要尽快更新和缓解该问题。 这是如何运作的? 该漏洞由CVE-2021-44228跟踪,可能会影响几乎所有使用 的 Java 应用程序log4j,考虑到它无处不在,这是相当多的。如果您的应用程序曾经记录用户发送的字符串,则它可能容易受到攻击。就漏洞利用而言,它是今年最糟糕的漏洞之一,因为它基本上可以以某种方式针对任何运行 Java 的.
司空见惯 - Log4j的大bug
guoqx的专栏
12-13 674
平时公司的电脑总是因为安全防护要求,不停打补丁、升级软件,搞来搞去的,这些后台任务会卡顿,升完级还要重启,烦得很。 这不,日积月累就把我的电脑搞残了,资源浏览器打不开,Ctrl+C / V不能用,头疼。 所以周六来公司整理电脑。 意外的是还有同事来加班,问了下,原来是出现安全漏洞,要升级公司的一些软件。 这个漏洞就是Java里用的一个非常普遍的package,log4j啊。 第一感觉,有点莫名其妙,一个日志记录的模块,开源项目,还怎么出这事呢。 对比之下,还是Linux内核的代码是不是因..
log4j2入门(一) demo演示
09-22 2845
摘要 本节演示log4j的demo实例log4j 2.X与 1.X有一些差别,比如2.x不再支持.properties的配置文件了,只能采用.xml, .json或者 .jsn。在默认情况下,系统选择配置文件文件的优先级如下: src或者WEB-INF下名为 log4j-test.json 或者log4j-test.jsn文件 src或者WEB-INF下名为 log4j2-test.xml src
vaadin-bug-demos:伴随错误报告的演示应用程序
06-12
6. **日志和调试**:有效地使用日志框架(如Logback或Log4j)和Vaadin的内置调试工具来跟踪和识别问题。 通过研究"vaadin-bug-demos"中的案例,开发者不仅可以学习如何解决特定问题,还能提升对Vaadin框架的理解,...
spring-boot-bug-sample
03-19
4. **错误处理和日志记录**:Spring Boot提供了统一的错误处理机制,并且默认集成了日志框架(如Logback或Log4j2),方便调试和问题追踪。 5. **Spring Boot测试**:Spring Boot支持单元测试和集成测试,通过`@...
JavaScript:演示
02-16
修复:修补错误 docs:文档(文档) 样式:格式(不影响代码运行的移动) 重构:重构(即不是补充功能,也不是修改bug的代码移动) 测试:增加测试 琐事:建造过程或辅助工具的变动 git分支-r git checkout -b...
demo:Git大师课程演示
03-12
在开发新功能或修复bug时,创建一个新分支可以避免污染主分支。`git merge`则用于将一个分支的修改合并到另一个分支,通常是将开发分支的改动合并回主分支。 版本回溯是Git的另一大特色。`git log`命令可以查看提交...
test1:用于版本控制的演示
03-20
开发过程中,开发者会创建其他分支进行新功能的开发或修复bug,完成后合并回主分支。 以下是版本控制的一些关键知识点: 1. **版本控制概念**:版本控制系统允许用户保存代码的不同版本,可以随时查看、比较或恢复...
log4j加载配置bug
侯上校
01-22 204
异常信息: log4j:ERROR setFile(null,true) call failed. java.io.FileNotFoundException: at java.io.FileOutputStream.open(Native Method) at java.io.FileOutputStream.&lt;init&gt;(FileOutputStream.java:...
全民日志组件 Apache Log4j2 爆发漏洞,赶紧加班修复
学Java,找哪吒
12-11 6685
一、日志漏洞,劲爆来袭 近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。 据说是阿里团队发现的,再次膜拜阿里爸爸。 漏洞详情: 打印日志时,如果是一段可执行的代码或超链,就会有被执行的可能,类似于sql注入,秒懂没? 这可能导致服务器被黑客控制,从而进行页面篡改、数据被盗、网络瘫痪等行为。 二、解决方案 1、民间解决方案: 升级到最
修复log4jbug
诸葛子房的博客
12-14 476
1.log4j bug源头 影响版本:Apache Log4j 2.x < 2.15.0-rc2 突发!Apache 开源项目 Log4j 爆“核弹级”漏洞 (qq.com) 5 分钟复现 log4J 漏洞,手把手实现 - 知乎 (zhihu.com) 2.解决方案,升级 2.15.0 Apache Log4j任意代码执行漏洞修复 spring-boot-starter-log4j2_wzj_vip的专栏-CSDN博客_spring-boot-starter-log4j2 3.或者使用l
水晶报表的一个Bug--修改Log4j默认输出级别
想飞的马
01-25 151
最近同事遇到一个问题,每当调用水晶报表后,tomcat后台的日志级别就自动变成了Error。 帮着他找了一些方法,都不行。 后来搜到一篇英文文档,是水晶报表的一个Bug,每次调用open方法后,水晶报表都会把Log4j的默认输出级别变成Error。 解决办法: 在调用open之前,记录默认输出级别,在调用open之后,把默认输出级别改回去。 参考网址:http://sup...
一个让我无语改了一天的bug-log4j
YIYIYIPEI的博客
11-12 229
https://zhuanlan.zhihu.com/p/410925748
Log4j
qq_43704511的博客
01-17 109
一、Log4j简介 Log4j有三个主要的组件:Loggers(记录器),Appenders (输出源)和Layouts(布局)。这里可简单理解为日志类别,日志要输出的地方和日志以何种形式输出。综合使用这三个组件可以轻松地记录信息的类型和级别,并可以在运行时控制日志输出的样式和位置。 1、Loggers Loggers组件在此系统中被分为五个级别:DEBUG、INFO、WARN、ERROR和FAT...
log4j漏洞的产生原因和解决方案,小白都能看懂!!!!
AI研习社
12-13 395
开发者(KaiFaX)面向全栈工程师的开发者专注于前端、Java/Python/Go/PHP的技术社区核弹级bug Log4j,相信很多人都有所耳闻了,这两天很多读者都在问我关于这个bu...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值