Log4j 漏洞处置方案汇总

Log4j 漏洞处置方案汇总

#Log4j2 (CVE-2021-44228/CVE-2021-45046/CVE-2021-45105)

安全建议

1、排查应用是否引入了Apache log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到安全 log4j-2.17.0 及其以上版本,地址https://logging.apache.org/log4j/2.x/download.html
2、对于 Java 8及其以上用户,建议升级Apache Log4j2 至2.17.0 版本。
3、对于 Java 7 用户,建议升级至 Apache Log4j 2.12.3 版本,该版本为安全版本,用于解决兼容性问题。
4、对于其余暂时无法升级版本的用户,建议删除JndiLookup,可用以下命令

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

5、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache
Solr/Apache Druid/Apache Flink
6、其余临时缓解方案可参见 缓解方案。目前已有安全版本,强烈建议不要采用临时缓解方案进行防御。
7、防止升级过程出现意外,建议相关用户在备份数据后再进行操作。

不受影响版本

Apache Log4j 2.17.0-rc1
Apache Log4j 2.17.0稳定版
Apache Log4j 2.12.3-rc1(支持Java 7)
Apache Log4j 2.12.3稳定版(支持Java 7)

Log4j2相关链接

1、https://logging.apache.org/log4j/2.x/security.html
2、https://github.com/advisories/GHSA-jfh8-c2jp-5v3q CVE-2021-44228
3、https://github.com/advisories/GHSA-7rjr-3q55-vv33 CVE-2021-45046
4、https://github.com/advisories/GHSA-p6xc-xr62-6r2g CVE-2021-45105

log4j (CVE-2021-4104)

Apache Log4j 1.2版本在特定配置时存在JMSAppender 反序列化代码执行漏洞(CVE-2021-4104),当攻击者具有修改 Log4j 配置的权限时,JMSAppender 容易受到不可信数据的反序列化,攻击者可以使用特定配置利用 JMSAppender 执行 JNDI 请求,从而造成远程代码执行。

安全建议

1、Apache Log4j 1.2 已于2015年8月终止。升级到Log4j2,因为它解决了以前版本中的许多其他问题。
2、防止升级过程出现意外,建议相关用户在备份数据后再进行操作。

缓解措施:

1)注释掉或删除 Log4j 配置中的 JMSAppender。
2)使用下列命令,从log4j jar包中删除 JMSAppender 类文件:
3)限制系统用户对应用程序平台的访问,以防止攻击者修改 Log4j 配置。

zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class

log4j相关链接

1、https://www.mail-archive.com/announce@apache.org/msg06936.html CVE-2021-4104

攻击排查方法

1、攻击者在利用前通常采用dnslog方式进行扫描、探测,常见的漏洞利用方式可通过应用系统报错日
志中的"javax.naming.CommunicationException"、"javax.naming.NamingException: problem
generating object using object factory"、"Error looking up JNDI
resource"、"StackOverflowError"关键字进行排查。
2、攻击者发送的数据包中可能存在"${jndi:}" 、"$${ctx:}"字样。

已知受影响应用及组件

VMware大部分产品 
Jedis
Logging 
Logstash 
HikariCP 
Hadoop Hive 
ElasticSearch
Apache Solr
Apache Struts2
Apache Flink
Apache Druid
Apache Log4j SLF4J  Binding 
spring-boot-strater-log4j2 
Camel :: Core
JBoss  Logging 3
JUnit Vintage Engine 
WSO2 Carbon Kernel  Core

用log4j的组件可参考如下链接:
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350

推荐阅读更多精彩内容