修复Apache Log4j任意代码执行漏洞安全风险通告
2021年12月10日
0x01漏洞背景
Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。
2021年12月9日,网上监测到一则 Apache Log4j任意代码执行漏洞正在被广泛利用的信息 。漏洞编号:暂无,漏洞威胁等级:严重。
Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据被日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大,建议客户尽快采取措施防护此漏洞。
log4j2是全球使用广泛的java日志框架,同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。该漏洞利用方式简单,危害严重,官方已经发布该产品的最新版本,建议用户尽快升级组件,修复缓解该漏洞。
0x02漏洞影响版本
Apache Log4j 2.x <= 2.14.1
0x03修复建议
通用修补建议
1、厂商已发布升级修复漏洞,用户请尽快更新至安全版本:log4j-2.15.0-rc1
下载链接:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
2、升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
哈哈!
一则公告搞得人心惶惶。
很多公司在第一时间修复,当时也是最繁锁的修复方式。因为10号的时候,官方也只是给出了 log4j-2.15.0-rc2 。
幸运的是,我们公司是这周一修复,折腾了半天,发现直接把依赖引入到项目中替换低版本依赖即可。
修复 log4j bug
pom 中添加,如果是父子依赖项目,直接在父项目中添加下面依赖即可:
<dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-to-slf4j</artifactId> <version>2.15.0</version> </dependency>
接下来,看看在 2.15.0 之前修复的,是有多疯狂吧。
项目里面没有使用到log4j
。springboot
默认引用了starter-logging
里面包含log4j
且版本是2.14.1
。(包含的log4j-api与log4j-to-slf4j包而不使用log4j-core的应用程序不会受到此漏洞的影响)如果不还放心可以自己排除一下。
可以将依赖log4j
依赖排除掉,或升级一下依赖到log4j
到2.15.0-rc2
。不过目前这个版本maven中央仓库还没有,需要自己打包到本地maven仓库install
后去依赖。
方式一:排除log4j
依赖,找到项目里面的pom.xml中的spring-boot-starter
排除log4j-to-slf4j
这种方式也是相当繁琐,相当于排除掉,log4j ,不使用它。这也是最根本的解决办法,但是要一个一个排除,也是相当麻烦了。
<!-- SpringBoot 核心包 单应用 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-to-slf4j</artifactId> </exclusion> </exclusions> </dependency>
怎么样看项目中有没有使用呢,在 idea 中鼠标放在项目上,右键选择 show Dependecies ... 快捷键是:Ctrl+Alt+shift+U
在这个界面里面,Ctrl + F ,找到 log4j-to-slf4j 并点击它
可以看到项目中很多地方都引用了这个依赖,所以要完全排除,还是比较难的。 具体方法就是找出所有依赖包然后一个个排除。参考方式一
方式二:升级log4j
依赖
在pom.xml
新增log4j
的版本为2.15.0-rc2
覆盖低版本,这个需要自己去下载最新的 log4j-2.15.0-rc2
版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 同时intsall到maven仓库去,因为这个还没有发布maven中央仓库。
<dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-to-slf4j</artifactId> <version>2.15.0-rc2</version> </dependency>
注意: 同时intsall到maven仓库去,这个也是个操作,这里我把命令粘贴出来给大家
mvn install:install-file -DgroupId=org.apache.logging.log4j -DartifactId=log4j-to-slf4j -Dversion=2.15.0-rc2 -Dclassifier=template -Dpackaging=zip -Dfile=D:\01-maven-rep2\logging-log4j2-log4j-2.15.0-rc2.zip
这里我下载的压缩包,是放在 D:\01-maven-rep2 目录下的,对了,我用的是 windows 系统。Linux 需要下载对应的压缩包。
到这里可还没完,只是在本地把这个包加载进来,但是我们一般开发和运维环境都是分开的。所以要把这个包放到运维使用的 maven 仓库中,不然打包就会出现找不到包。具体这一步,需要和自己公司运维同事沟通。
看看那些快被逼疯的人们:
方式三:升级log4j
依赖版本为 2.15.0
<dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-to-slf4j</artifactId> <version>2.15.0</version> </dependency>
哈哈,最省事的了。但是,相对一些比较大的公司来说,可能是几百上千个服务,这也很头大。只能人肉运维去弄了,强一点的大佬都会去写脚本,甚至是不屑一顾
参考链接:https://gitee.com/y_project/RuoYi-Vue/issues/I4LX91
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· PostgreSQL 和 SQL Server 在统计信息维护中的关键差异
· C++代码改造为UTF-8编码问题的总结
· DeepSeek 解答了困扰我五年的技术问题
· 为什么说在企业级应用开发中,后端往往是效率杀手?
· 用 C# 插值字符串处理器写一个 sscanf
· DeepSeek智能编程
· 精选4款基于.NET开源、功能强大的通讯调试工具
· [翻译] 为什么 Tracebit 用 C# 开发
· 腾讯ima接入deepseek-r1,借用别人脑子用用成真了~
· DeepSeek崛起:程序员“饭碗”被抢,还是职业进化新起点?