拨开荷叶行,寻梦已然成。仙女莲花里,翩翩白鹭情。
IMG-LOGO
主页 文章列表 记Java程序Log4J漏洞的解决程序

记Java程序Log4J漏洞的解决程序

白鹭 - 2022-02-11 2115 0 0
阅文时长 | 0.51分钟 字数统计 | 827.2字符
主要内容 | 1、引言&背景 2、检查依赖项中是否依赖了Log4J 3、侦测工具侦测结果 4、宣告与参考资料
『记Java程序Log4J漏洞的解决程序』
撰写人 | SCscHero 撰写时间 | 2022/1/2 PM6:35
文章型别 | 系列 完成度 | 已完成
座右铭 每一个伟大的事业,都有一个微不足道的开始,

一、引言&背景   完成度:100%

a) 问题&时间线

  1. 开始知道Log4J漏洞是公司的安全邮件:大约是21年12月10号下午收到的邮件,知道了这个组件的漏洞,
  2. 我是在11号下午对Log4J组件做的修复(实际上时间已经晚了,我们另一个Java团队就在10号晚上当天做了升级):我们主要是使用的.Net技术堆栈,少部分使用的是Python、Java Spring Boot的WebAPI结构,后来和几个搞网安的朋友以及搞Java的朋友讨论了一下,并且参加了公司组织的安全运维的会议,制定了解决方案,最后用长亭的工具扫描了没问题了,汇报了老板,
  3. 那么写这篇文章时间现在已经是元旦了,确实很晚了,之前忙于开发任务没时间写博文,现在元旦得空了写写记录一下,相信很多朋友已经经历完了这个漏洞,如果还有朋友没搞得,希望也能帮助一点吧~??????

b) Log4J漏洞影响范围

  1. 使用了Log4J版本大于2.0且小于 2.15.0-rc1,
  2. 使用Apache Log4j 1.X版本的应用,若开发者对JMS Appender利用不当,可对应用产生潜在的安全影响,

c) 解决思路

  1. 先根据Log4J的影响范围,需要确认项目中是否使用了Log4J组件,手动检查Maven的依赖项,以及依赖项的依赖项中是否存在,详情可见第二章的一种方法,当然也有很多办法都可以参考,
  2. 若使用了Log4J组件,且版本在漏洞影响范围内,则需制定方案,
  3. 【方案1】按照Log4J2最新推出的版本进行升级,升级到Apache官方打Patch的版本,
  4. 【方案2】替换掉Log4J的组件,一Java朋友建议替换成LogBack,
  5. 【方案3-缓解措施】添加jvm启动自变量:-Dlog4j2.formatMsgNoLookups=true;在应用classpath下添加log4j2.component.properties组态档,档案内容为:log4j2.formatMsgNoLookups=true;JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;限制受影回应用对外访问互联网,并在边界对dnslog相关域名访问进行检测,
  6. 通过一个安全运维大佬们都推荐的链接:https://log4j2-detector.chaitin.cn/,下载侦测工具,检验下效果,我用的是V2版本的侦测工具,

二、检查依赖项中是否依赖了Log4J   完成度:100%

记一个方法,IDEA的可视化工具,可以反馈出依赖项是否又依赖了Log4J,在Maven项目中右击Show Dependencies,

显示如下图:

三、侦测工具侦测结果   完成度:100%

使用了侦测工具扫描结果如图:

四、宣告与参考资料   完成度:100%

原创博文,未经许可请勿转载,

如有帮助,欢迎点赞、收藏、关注,如有问题,请评论留言!如需与博主联系的,直接博客私信SCscHero即可,

标签:

0 评论

发表评论

您的电子邮件地址不会被公开。 必填的字段已做标记 *