突发！Log4j 爆“核弹级”漏洞

参考：开源中国、InfoQ等

昨晚，对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨，Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开，由于 Log4j 的广泛使用，该漏洞一旦被攻击者利用会造成严重危害。

据悉，Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。

漏洞描述

腾讯安全注意到，一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开，Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛，利用门槛很低，危害极大，腾讯安全专家建议所有用户尽快升级到安全版本。

已知受影响应用及组件：

• Apache Solr

• Apache Flink

• Apache Druid

• srping-boot-strater-log4j2

此次漏洞的出现，正是由用于 Log4j 2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。“微步在线研究响应中心”做了漏洞复现：

简单来说，就是在打印日志时，如果发现日志内容中包含关键词 ${，那么这个里面包含的内容会当做变量来进行替换，导致攻击者可以任意执行命令。详细漏洞披露可查看：https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

快速检测及修复方案

针对此次漏洞，“微步在线研究响应中心”也给出了一些应急方案。

1. 紧急缓解措施

（1）修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
（2）修改配置 log4j2.formatMsgNoLookups=True
（3）将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

2. 检测方案

（1）由于攻击者在攻击过程中可能使用 DNSLog 进行漏洞探测，建议企业可以通过流量监测设备监控是否有相关 DNSLog 域名的请求，微步在线的 OneDNS 也已经识别主流 DNSLog 域名并支持拦截。
（2）根据目前微步在线对于此类漏洞的研究积累，我们建议企业可以通过监测相关流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。

3. 修复方案

检查所有使用了 Log4j 组件的系统，官方修复链接如下：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

 -END- 

PS：如果觉得我的分享不错，欢迎大家随手点赞、在看。

 关注公众号：Java后端编程，回复下面关键字 

要Java学习完整路线，回复  路线 
缺Java入门视频，回复： 视频 
要Java面试经验，回复  面试 
缺Java项目，回复： 项目 
进Java粉丝群： 加群 

PS：如果觉得我的分享不错，欢迎大家随手点赞、在看。
（完）




加我"微信" 获取一份 最新Java面试题资料
请备注：666，不然不通过～

最近好文

1、又出新神器，一套代码适应多端！
2、本机号码一键登录原理与应用
3、IDEA 这个小技巧真的太实用了。。
4、一个基于Spring Boot+Vue+Redis的物联网智能家居系统
5、读者提问：为什么 jsp 还没有被淘汰？


最近面试BAT，整理一份面试资料《Java面试BAT通关手册》，覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。
获取方式：关注公众号并回复 java 领取，更多内容陆续奉上。
明天见(｡･ω･｡)ﾉ♡