全网最新Log4j 漏洞修复和临时补救方法-Java开发

全网最新Log4j 漏洞修复和临时补救方法 1. 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞严重影响的版本范围:Apache Log4j 2.x = 2.14.1 2.log4j2 漏洞简单演示创建maven工程引入jar包依赖 dependencies dependency groupIdorg.apache.logging.log4j/groupId artifactIdlog4j

1. 漏洞评级及影响版本

Apache Log4j 远程代码执行漏洞严重

影响的版本范围：Apache Log4j 2.x <= 2.14.1

2.log4j2 漏洞简单演示

创建maven工程
引入jar包依赖


<dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.0</version>
        </dependency>
    </dependencies>

编写log4j2配置文件


<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">

    <!--全局参数-->
    <Properties>
        <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property>
        <Property name="logDir">/data/logs/dust-server</Property>
    </Properties>

    <Loggers>
        <Root level="INFO">
            <AppenderRef ref="console"/>
            <AppenderRef ref="rolling_file"/>
        </Root>
    </Loggers>

    <Appenders>
        <!-- 定义输出到控制台 -->
        <Console name="console" target="SYSTEM_OUT" follow="true">
            <!--控制台只输出level及以上级别的信息-->
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout>
                <Pattern>${pattern}</Pattern>
            </PatternLayout>
        </Console>
        <!-- 同一来源的Appender可以定义多个RollingFile，定义按天存储日志 -->
        <RollingFile name="rolling_file"
                     fileName="${logDir}/dust-server.log"
                     filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout>
                <Pattern>${pattern}</Pattern>
            </PatternLayout>
            <Policies>
                <TimeBasedTriggeringPolicy interval="1"/>
            </Policies>
            <!-- 日志保留策略，配置只保留七天 -->
            <DefaultRolloverStrategy>
                <Delete basePath="${logDir}/" maxDepth="1">
                    <IfFileName glob="dust-server_*.log" />
                    <IfLastModified age="7d" />
                </Delete>
            </DefaultRolloverStrategy>
        </RollingFile>
    </Appenders>
</Configuration>

创建测试类Log4j2Demo


//java项目 fhadmin.cn
public class Log4j2Demo {

    private static  final Logger LOGGER=LogManager.getLogger();
    public static void main(String[] args) {
        String username="${java:os}";

        LOGGER.info("Hello, {}",username);
    }
}

运行结果

[INFO] Building log4j2-bug-test 1.0-SNAPSHOT

[INFO] --------------------------------[ jar ]---------------------------------

[INFO]

[INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---

2021-12-11 11:44:14,654 INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64

[INFO] ------------------------------------------------------------------------

[INFO] BUILD SUCCESS

[INFO] ------------------------------------------------------------------------

[INFO] Total time: 1.140 s

[INFO] Finished at: 2021-12-11T11:44:14+08:00

[INFO] ------------------------------------------------------------------------

在这里面我们可以看到使用${}可以实现漏洞的注入，假设username为用户登录的输入框，即可从这个输入框进行注入，既可查看到一些后台系统信息，如果有黑客在使用JNDI编写恶意代码注入的话，后果是非常严重的。