源 /         文/ 

昨晚，对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨，Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开，由于 Log4j 的广泛使用，该漏洞一旦被攻击者利用会造成严重危害。

据悉，Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。

漏洞描述

腾讯安全注意到，一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开，Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

注 意

 文末有：7701页互联网大厂面试题 

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛，利用门槛很低，危害极大，腾讯安全专家建议所有用户尽快升级到安全版本。

已知受影响应用及组件：

• Apache Solr
• Apache Flink
• Apache Druid
• srping-boot-strater-log4j2

此次漏洞的出现，正是由用于 Log4j 2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。“微步在线研究响应中心”做了漏洞复现：

简单来说，就是在打印日志时，如果发现日志内容中包含关键词 ${，那么这个里面包含的内容会当做变量来进行替换，导致攻击者可以任意执行命令。详细漏洞披露可查看：https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

快速检测及修复方案

针对此次漏洞，“微步在线研究响应中心”也给出了一些应急方案。

紧急缓解措施

1）修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
2）修改配置 log4j2.formatMsgNoLookups=True
3）将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

检测方案

1）由于攻击者在攻击过程中可能使用 DNSLog 进行漏洞探测，建议企业可以通过流量监测设备监控是否有相关 DNSLog 域名的请求，微步在线的 OneDNS 也已经识别主流 DNSLog 域名并支持拦截。
2）根据目前微步在线对于此类漏洞的研究积累，我们建议企业可以通过监测相关流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。

修复方案

检查所有使用了 Log4j 组件的系统，官方修复链接如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

END

顶级程序员：topcoding

做最好的程序员社区：Java后端开发、Python、大数据、AI

一键三连「分享」、「点赞」和「在看」