颤抖吧 Javaer, log4j 史诗级漏洞

2021-12-10 09:16:39 +08:00
 eviladan0s

漏洞预警: https://mp.weixin.qq.com/s/WBbAthHY36qY0w9e4UUl4Q

本质上是 log4j 里的 lookup 方法存在 jndi 注入(看图): https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/20211210091200YOXTYd.jpg

百度、谷歌、苹果的框全都沦陷了: https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/202112100913225Wncr7.png

修复措施: 在 log4j2.component.properties 配置文件中设置 log4j2.formatMsgNoLookups=true ,可以暂时缓解避免受漏洞的影响。

之所以是史诗级,是因为不仅 log4j 使用范围广,而且日志数据你不知道流到哪里的 log4j 就会触发

33915 次点击
所在节点    Java
189 条回复
kernelpanic
2021-12-10 11:22:25 +08:00
苹果还没修复, 不知道服务器上弹出多少个计算器了
uSy62nMkdH
2021-12-10 11:29:27 +08:00
小团体的群里,大厂的小伙伴是连夜修复,我们公司白天没人提,发到群里了没激起一点水花~
James369
2021-12-10 11:43:01 +08:00
什么叫稳,版本越老反而越稳,哈哈
aguesuka
2021-12-10 11:43:36 +08:00
@ohwind I try to follow a rule with libraries: if a library causes more trouble than the implementation effort it would take to recreate its functionality from scratch (or rather, the portion of its funcitonality that is used in practice), then it's time to purge that library from projects and never use it again.
The part of log4j functionality that gets used in practice, most of the time, is just a wrapper around printf which adds a timestamp and a log-level. This is very quick and easy to write. A library in this role should have zero RCEs, ever in its entire lifetime, or it is unfit for purpose.

这不是我一个人的 idea
ipuhua
2021-12-10 11:50:34 +08:00
Windows 漏洞有多少?大家都不要用微软了, 颤抖吧
Seayon
2021-12-10 11:51:09 +08:00
怎么才能学习复现一下 有没有指点一下路子的
soulzz
2021-12-10 11:57:44 +08:00
log4j2.formatMsgNoLookups=true
pkoukk
2021-12-10 12:00:37 +08:00
@ipuhua windows 的漏洞起码不是在输入框写个${} 就能触发的
feelinglucky
2021-12-10 12:02:06 +08:00
@buliugu 我记得 logback 默认依赖 log4j 的吧,虽然可以换引擎
pofycn
2021-12-10 12:02:25 +08:00
现在上线了 RC2 可以暂时修复 但是可能还会被绕过
Mithril
2021-12-10 12:04:32 +08:00
@James369
@tabris17
@iold
老版的好像也有问题,躲不过加班的。。。
NULL2020
2021-12-10 12:08:46 +08:00
log4j github 仓库下载下来解压怎么是源码啊,还得自己编译打包成 jar ?
Bromine0x23
2021-12-10 12:18:53 +08:00
纯云
logback 只是测试依赖用有到 log4j ,应该不受影响。
spring-boot-starter-logging 通过 log4j-to-slf4j 间接引入了 log4j-api ,只是接口层,应该也不受影响。
Jwyt
2021-12-10 12:20:50 +08:00
@feelinglucky 。。。你记错了吧
podel
2021-12-10 12:24:26 +08:00
终于知道苹果的登录为什么这么慢了。
因为每一次登录请求,都会在美国的服务器上跑程序。
gadfly3173
2021-12-10 12:28:28 +08:00
@NULL2020 #72 是的 因为还没正式发布
pengtdyd
2021-12-10 12:30:41 +08:00
fastjson 确实挺好用的,我个人觉的源码写的很乱,动不动就爆漏洞,阿里的东西真的要慎用!
Lemeng
2021-12-10 12:37:05 +08:00
生活不能太平静,网络也一样,哈哈
cholerae
2021-12-10 12:46:28 +08:00
java 怎么总能搞出点新花样。fastjson 一个序列化库能搞出来 rce ,log4j2 一个日志库也能搞出来 rce
masterclock
2021-12-10 12:54:13 +08:00
感觉 JAVA 因其强大,它的库总是倾向于做得多,内部搞点魔法,用起来方便;然后代码多了就容易出问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821241

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX