log4j JNDI漏洞CVE-2021-44228 针对于不同版本的解决方案

log4j JNDI漏洞CVE-2021-44228 针对于不同版本的解决方案,第1张

log4j JNDI漏洞CVE-2021-44228 针对于不同版本的解决方案 问题描述:

Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码

漏洞影响版本:2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1

看一下目前log4j的maven官方仓库版本,几乎是主流常用版本都受影响

解决方案:

试了一下网上几种方案,绝大部分都是解决 >=2.10 版本的方案 :

1、第一种方案,更新log4j版本
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、现在普遍的修复方案主要集中在配置修改上在项目的log4j2.component.properties配置文件中添加配置 :

log4j2.formatMsgNoLookups = true

3、在JVM参数启动项上加入

-Dlog4j2.formatMsgNoLookups=true

4、对于 2.0-beta9 ~ 2.10.0版本的官方解决方案是删掉log4j-core jar包中的jndi相关的class类


测试不同版本解决方案 :

首先去掉boot自带的logback依赖,添加log4j依赖


    org.springframework.boot
    spring-boot-starter
    
        
            org.springframework.boot
            spring-boot-starter-logging
        
    

 
    org.springframework.boot
    spring-boot-starter-log4j2

2.10以上用人气较高的 2.12.1测试


编写客户端进行测试(服务端搭建这里不演示)

public class Client {
    private static final Logger logger = LogManager.getLogger();
    public static void main(String[] args) throws Exception {
        // 这里触发有个前置条件,jdk8开始,jndi的trustURLCodebase默认为false,这里需要手动开启。
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        logger.info("${jndi:rmi://127.0.0.1:xx/xxx}");
    }
}
// ......
try {
    //调用计算器
    Process rt=Runtime.getRuntime().exec("calc");
    Process rt2=Runtime.getRuntime().exec("notepad");
}
catch (IOException ex) {
    ex.printStackTrace();
}

运行客户端,可以看到堆栈信息输出报错,并且d出了

方法2、3配置好后,可以在控制台观察到,原本的指令变成了普通的日志输出。

方法4 针对于2.0-beta9 ~ 2.10.0 版本测试 :

这里就有点麻烦,需要把jar包里面的log4j-core类中的对应class文件删掉后再打包

参考这位大佬博客
Springboot替换lib里面的引用jar

删掉之前的log4j-core

删掉JndiLookup.class后

测试打包好后的jar包文件

控制台运行,成功打印注入指令,不再跳转

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5660098.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-12-16
下一篇 2022-12-16

发表评论

登录后才能评论

评论列表(0条)

保存