1、前言
Apache Log4j2 JNDI 注入漏洞(CVE-2021-44228)持续发酵,目前网络上提供了多种修补方案,如更新至最新版本、通过配置禁用 lookup 特性、删除 org/apache/logging/log4j/core/lookup/JndiLookup.class
类等,这些方法都能有效修补该漏洞,受 NCCGROUP 的项目 log4j-jndi-be-gone 启发,笔者将分享一个通过 java agent 修改 jvm 字节码的方式动态 patch Log4j2 漏洞的方案,此方案的特点是可以在不重启服务的情况下,也可完成修复。希望此方案能够给那些因为业务原因无法重启应用的朋友们提供点思路。
2、Java Agent 简介
Java Agent 时 java 提供的一种机制,可以理解为一种 hook 机制,可以在 jvm 运行时动态修改 java 字节码,从而改变运行流程,从而实现一些特殊的功能,如性能监控,热更新等。关于如何开发一个 java agent, 网上有很多资料可以可以参考,如: Java字节码1-Agent简单上手 - 简书 ,这里就不进行阐述。
3、动态修补 Log4j2 漏洞
根据公开资料,已经知道该漏洞最终出现在Log4j2中 org.apache.logging.log4j.core.lookup.JndiLookup
类的