颤抖吧 Javaer， log4j 史诗级漏洞

2021-12-10 09:16:39 +08:00

eviladan0s

漏洞预警： https://mp.weixin.qq.com/s/WBbAthHY36qY0w9e4UUl4Q

本质上是 log4j 里的 lookup 方法存在 jndi 注入（看图）： https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/20211210091200YOXTYd.jpg

百度、谷歌、苹果的框全都沦陷了： https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/202112100913225Wncr7.png

修复措施：在 log4j2.component.properties 配置文件中设置 log4j2.formatMsgNoLookups=true ，可以暂时缓解避免受漏洞的影响。

之所以是史诗级，是因为不仅 log4j 使用范围广，而且日志数据你不知道流到哪里的 log4j 就会触发

33865 次点击

所在节点

Java

189 条回复

jsjjdzg

2021-12-10 10:36:14 +08:00

logback 依赖不是 slf4j 嘛？还是 slf4j 底层是用 log4j 实现的？

legendORld

2021-12-10 10:37:12 +08:00

已经把文章发到群里面了，让公司大佬们处理吧

fpure

2021-12-10 10:44:50 +08:00

@pigspy 他可能说的是桥接器

youxiachai

2021-12-10 10:44:50 +08:00

按道理... 这个默认不是关的吗...

kernelpanic

2021-12-10 10:46:45 +08:00

linkedin 也没修复

zxCoder

2021-12-10 10:52:07 +08:00

写个日志都不安全，牛逼啊

johnj

2021-12-10 10:53:05 +08:00

@conhost logback 和 log4j 是独立的

Jwyt

2021-12-10 10:57:31 +08:00

@conhost 这怎么可能，那 logback 作者离开 log4j 干嘛?

ohwind

2021-12-10 10:58:30 +08:00

@aguesuka 阿里的 fastjson 也有过高危漏洞，建议别用阿里的任何东西。
二极管思维能不能消停点

Jwyt

2021-12-10 10:59:07 +08:00

@jsjjdzg slf4j 只是上层接口，没有具体实现阿，怎么会有用 log4j 实现这一说

encounter2017

2021-12-10 10:59:41 +08:00

@conhost https://mvnrepository.com/artifact/ch.qos.logback/logback-classic/1.2.7
不是吧，测试有依赖的 log4j1 ，编译没有依赖

leiuu

2021-12-10 11:01:44 +08:00

颤抖吧...

aguesuka

2021-12-10 11:02:07 +08:00

@Crystal8899 https://github.com/apache/logging-log4j2/blob/b93cdf94167691cf509c15f69f3857abaaa80765/log4j-core/src/main/java/org/apache/logging/log4j/core/lookup/Interpolator.java
https://github.com/apache/logging-log4j2/blob/b93cdf94167691cf509c15f69f3857abaaa80765/log4j-core/src/main/java/org/apache/logging/log4j/core/lookup/JndiLookup.java
https://github.com/apache/logging-log4j2/blob/b93cdf94167691cf509c15f69f3857abaaa80765/log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiLookupTest.java

完全没有 jndi 注入的意识.

pkoukk

2021-12-10 11:04:07 +08:00

@aguesuka
logstash 也有引用，elk 不打算用了？

ixx

2021-12-10 11:09:51 +08:00

@sagaxu #13 确认了一下参数传入也会触发

chawuchiren

2021-12-10 11:12:03 +08:00

怎么升级呢，最新的 log4j 2.15.0 ,有一个包需要 jdk9 。我们还在用 jdk8

aguesuka

2021-12-10 11:15:07 +08:00

@pkoukk 像大家一起不用 Struts 一样不用它

Jwyt

2021-12-10 11:17:00 +08:00

@chawuchiren 顺便把 jdk 也升了(

kappa

2021-12-10 11:17:38 +08:00

@zmxnv123 HN 热贴了还叫没报道？ https://news.ycombinator.com/item?id=29504755

Nich0la5

2021-12-10 11:18:20 +08:00

笑死我们手忙脚乱查了一遍得出结论，log4j 版本太低，没这个漏洞

第 3 页／共 10 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821241

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.