全网最新Log4j 漏洞修复和临时补救方法是什么

这篇文章给大家介绍全网最新Log4j 漏洞修复和临时补救方法是什么，内容非常详细，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。

1. 漏洞评级及影响版本

Apache Log4j 远程代码执行漏洞 严重

影响的版本范围：Apache Log4j 2.x <= 2.14.1

2.log4j2 漏洞简单演示

创建maven工程
引入jar包依赖

<dependencies>        <dependency>            <groupId>org.apache.logging.log4j</groupId>            <artifactId>log4j-api</artifactId>            <version>2.14.0</version>        </dependency>        <dependency>            <groupId>org.apache.logging.log4j</groupId>            <artifactId>log4j-core</artifactId>            <version>2.14.0</version>        </dependency>    </dependencies>

编写log4j2配置文件

<?xml version="1.0" encoding="UTF-8"?><Configuration status="WARN">    <!--全局参数-->    <Properties>        <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property>        <Property name="logDir">/data/logs/dust-server</Property>    </Properties>    <Loggers>        <Root level="INFO">            <AppenderRef ref="console"/>            <AppenderRef ref="rolling_file"/>        </Root>    </Loggers>    <Appenders>        <!-- 定义输出到控制台 -->        <Console name="console" target="SYSTEM_OUT" follow="true">            <!--控制台只输出level及以上级别的信息-->            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>            <PatternLayout>                <Pattern>${pattern}</Pattern>            </PatternLayout>        </Console>        <!-- 同一来源的Appender可以定义多个RollingFile，定义按天存储日志 -->        <RollingFile name="rolling_file"                     fileName="${logDir}/dust-server.log"                     filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>            <PatternLayout>                <Pattern>${pattern}</Pattern>            </PatternLayout>            <Policies>                <TimeBasedTriggeringPolicy interval="1"/>            </Policies>            <!-- 日志保留策略，配置只保留七天 -->            <DefaultRolloverStrategy>                <Delete basePath="${logDir}/" maxDepth="1">                    <IfFileName glob="dust-server_*.log" />                    <IfLastModified age="7d" />                </Delete>            </DefaultRolloverStrategy>        </RollingFile>    </Appenders></Configuration>

创建测试类Log4j2Demo

//java项目 fhadmin.cnpublic class Log4j2Demo {    private static  final Logger LOGGER=LogManager.getLogger();    public static void main(String[] args) {        String username="${java:os}";        LOGGER.info("Hello, {}",username);    }}

运行结果

[INFO] Building log4j2-bug-test 1.0-SNAPSHOT

[INFO] --------------------------------[ jar ]---------------------------------

[INFO] 

[INFO] --- exec-maven-plugin:3.0.0:exec (default-cli) @ log4j2-bug-test ---

2021-12-11 11:44:14,654  INFO Log4j2Demo:12 - Hello, Windows 10 10.0, architecture: amd64-64

[INFO] ------------------------------------------------------------------------

[INFO] BUILD SUCCESS

[INFO] ------------------------------------------------------------------------

[INFO] Total time:  1.140 s

[INFO] Finished at: 2021-12-11T11:44:14+08:00

[INFO] ------------------------------------------------------------------------

在这里面我们可以看到使用${}可以实现漏洞的注入，假设username为用户登录的输入框，即可从这个输入框进行注入，既可查看到一些后台系统信息，如果有黑客在使用JNDI编写恶意代码注入的话，后果是非常严重的。

3. log4j2 快速修复措施

修改log4j2版本
据 Apache 官方最新信息显示，release 页面上已经更新了 Log4j 2.15.0 版本，主要是那个log4j-core包，漏洞就是在这个包里产生的，如果你的程序有用到，尽快紧急升级(java项目 fhadmin.cn)。

临时解决方案

设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

设置“log4j2.formatMsgNoLookups=True”

系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

关闭对应应用的网络外连，禁止主动外连

关于全网最新Log4j 漏洞修复和临时补救方法是什么就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。