查看原文
其他

突发!Log4j 再爆“史诗级”漏洞,Kafka、Elasticsearch等均受影响,速查!修复!

Java精选 2022-08-09

点击上方“Java精选”,选择“设为星标”

别问别人为什么,多问自己凭什么!

下方有惊喜留言必回,有问必答!

每天 08:15 更新文章,每天进步一点点...

Log4j 2发布于2014年。Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。Log4j 2是对Log4j的重大升级,完全重写了log4j的日志实现。Log4j 2提供了Logback中可用的许多改进,同时修复了Logback架构中的一些固有问题,目前已经更新到2.15.0版本。

漏洞简介
Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。目前官方已在Apache Log4j 2.8.2版本之后修复了该漏洞。
而再次爆出“史诗级”漏洞是由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
漏洞危害
攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器。
漏洞影响范围
Apache Log4j 2.x <= 2.14.1
注:不受影响版本:Apache log4j-2.15.0-rc2
漏洞修复措施
建议排查Java应用是否引入log4j-api、log4j-core两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护。
用户可以根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。
项目中如果使用Maven工具,查看项目的pom.xml文件中是否存在下图所示的相关字段以及其他依赖包,若版本号为小于2.15.0,则存在该漏洞。
注意:Apache Log4j 2再次爆漏洞风险!阿里云安全团队发出预警,发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过,建议及时更新至Apache Log4j 2.15.0-rc2版本。
升级Apache Log4j 2所有相关应用到最新的log4j-2.15.0-rc2版本,地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

升级已知受影响的应用及组件,如:
spring-boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid
Apache Kafka
相信很多公司都在自查修复log4j漏洞中,目前Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等,如用到请检查其中的log4j版本是否2.0 <= Apache log4j2 <= 2.14.1,如是建议尽早更新应用或者更新log4j版本。
紧急缓解措施
如果来不及更新Log4j 2版本修复,可通过下述方式紧急缓解问题。
1)修改jvm参数
-Dlog4j2.formatMsgNoLookups=true
2)修改配置
log4j2.formatMsgNoLookups=True
3)将系统环境变量
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
Log4j官方修复方案
再次强调一次检查所有使用Log4j 2组件的项目系统,官方修复链接如下:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

众号“Java精选”所发表内容注明来源的,版权归原出处所有(无法查证版权的或者未注明出处的均来自网络,系转载,转载的目的在于传递更多信息,版权属于原作者。如有侵权,请联系,笔者会第一时间删除处理!
------ THE END ------

精品资料,超赞福利!


3000+ 道 BAT 大厂面试题在线刷,最新、最全 Java 面试题!

☆ Java进阶学习资料
 Java自学、进阶路线图免费领


期往精选  点击标题可跳转

为什么很多人不建议使用实数作为 HashMap 的 Key?

“光鲜”背后,一个月薪 12000 的北京程序员的真实生活!

切记,永远不要在你的代码中使用 “User” 这个单词!

干掉 IDEA:JetBrains 推出“下一代 IDE”轻量级开发工具 Fleet!

我这样写代码,比直接使用 MyBatis 效率提高了 100 倍!

同事使用 Redis 不当导致应用卡爆,我真是醉了...

并发模拟的四种方式+工具,超级实用!

ELK 不香了,我用更简洁、高效的企业级日志平台 Graylog!

技术交流群!

最近有很多人问,有没有读者&异性交流群,你懂的!想知道如何加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群”,即可免费加入交流群!

文章有帮助的话,在看,转发吧!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存