颤抖吧 Javaer, log4j 史诗级漏洞

2021-12-10 09:16:39 +08:00
 eviladan0s

漏洞预警: https://mp.weixin.qq.com/s/WBbAthHY36qY0w9e4UUl4Q

本质上是 log4j 里的 lookup 方法存在 jndi 注入(看图): https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/20211210091200YOXTYd.jpg

百度、谷歌、苹果的框全都沦陷了: https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/202112100913225Wncr7.png

修复措施: 在 log4j2.component.properties 配置文件中设置 log4j2.formatMsgNoLookups=true ,可以暂时缓解避免受漏洞的影响。

之所以是史诗级,是因为不仅 log4j 使用范围广,而且日志数据你不知道流到哪里的 log4j 就会触发

34421 次点击
所在节点    Java
189 条回复
jsjjdzg
2021-12-10 10:36:14 +08:00
logback 依赖不是 slf4j 嘛?还是 slf4j 底层是用 log4j 实现的?
legendORld
2021-12-10 10:37:12 +08:00
已经把文章发到群里面了,让公司大佬们处理吧
fpure
2021-12-10 10:44:50 +08:00
@pigspy 他可能说的是桥接器
youxiachai
2021-12-10 10:44:50 +08:00
按道理... 这个默认不是关的吗...
kernelpanic
2021-12-10 10:46:45 +08:00
linkedin 也没修复
zxCoder
2021-12-10 10:52:07 +08:00
写个日志都不安全,牛逼啊
johnj
2021-12-10 10:53:05 +08:00
@conhost logback 和 log4j 是独立的
Jwyt
2021-12-10 10:57:31 +08:00
@conhost 这怎么可能,那 logback 作者离开 log4j 干嘛?
ohwind
2021-12-10 10:58:30 +08:00
@aguesuka 阿里的 fastjson 也有过高危漏洞,建议别用阿里的任何东西。
二极管思维能不能消停点
Jwyt
2021-12-10 10:59:07 +08:00
@jsjjdzg slf4j 只是上层接口,没有具体实现阿,怎么会有用 log4j 实现这一说
encounter2017
2021-12-10 10:59:41 +08:00
@conhost https://mvnrepository.com/artifact/ch.qos.logback/logback-classic/1.2.7
不是吧,测试有依赖的 log4j1 ,编译没有依赖
leiuu
2021-12-10 11:01:44 +08:00
颤抖吧...
aguesuka
2021-12-10 11:02:07 +08:00
pkoukk
2021-12-10 11:04:07 +08:00
@aguesuka
logstash 也有引用,elk 不打算用了?
ixx
2021-12-10 11:09:51 +08:00
@sagaxu #13 确认了一下 参数传入也会触发
chawuchiren
2021-12-10 11:12:03 +08:00
怎么升级呢,最新的 log4j 2.15.0 ,有一个包需要 jdk9 。 我们还在用 jdk8
aguesuka
2021-12-10 11:15:07 +08:00
@pkoukk 像大家一起不用 Struts 一样不用它
Jwyt
2021-12-10 11:17:00 +08:00
@chawuchiren 顺便把 jdk 也升了(
kappa
2021-12-10 11:17:38 +08:00
Nich0la5
2021-12-10 11:18:20 +08:00
笑死 我们手忙脚乱查了一遍得出结论,log4j 版本太低,没这个漏洞

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821241

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX