log4j2 的漏洞大家今天晚上修复吗?

漏洞参考: issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

点完早饭外卖被电话叫起来了修了...

log4j 有这个问题吗？

有什么 log4j2 的替代品吗

不懂信息安全。。。怎么一个 jar 包还能被攻击啊

作为脚本小子，我只关心 exp

Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日，阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2 、Apache Solr 、Apache Druid 、Apache Flink 等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。



漏洞评级

Apache Log4j 远程代码执行漏洞 严重



影响版本

Apache Log4j 2.x <= 2.14.1



安全建议

1. 升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc1 版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2. 升级已知受影响的应用及组件，如 srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

@ericgui #4
logback

用户只需排查 Java 应用是否引入 log4j-api , log4j-core 两个 jar 。若存在应用使用，极大可能会受到影响。
没有这俩，明天可以休息啦

springboot -> spring-boot-starter -> spring-boot-starter-logging -> log4j-to-slf4j -> log4j-api 也就是说所有 springboot 项目都会有影响？

@MonkeyJon #10 看 idea 外部库里面有 log4j-api ,但是系统用的是 logback,pom 文件也没有引入 log4j,怎么查看是哪个依赖带的?

哪位彦祖讲一下，一个 jar 包怎么被攻击？

@aoizz #12
IDEA 、maven ，control + `+号`，所有依赖 tree 形式列出来了。

想看的东西在这

Apache log4j2 在 2.0 至 2.14.1 版本均受影响。 好像我们用的还是 1.x 的版本[doge]

@aoizz #12 你这不都把答案说出来了吗。。。。logback 依赖 log4j 啊

利用的方式以前就存在了 https://securityonline.info/jndi-injection-exploit-exploit-jndi-injection-vulnerability/

打开 IDEA ，搜一下 log4j ，用的是 1.X 的版本，继续摸鱼