| 阅文时长 | | 0.51分钟 | 字数统计 | | 827.2字符 |
| 主要内容 | | 1、引言&背景 2、检查依赖项中是否依赖了Log4J 3、侦测工具侦测结果 4、声明与参考资料 | ||
| 『记Java程序Log4J漏洞的解决过程』 | |||
| 编写人 | | SCscHero | 编写时间 | | 2022/1/2 PM6:35 |
| 文章类型 | | 系列 | 完成度 | | 已完成 |
| 座右铭 | 每一个伟大的事业,都有一个微不足道的开始。 | ||
一、引言&背景 完成度:100%
a) 问题&时间线
- 开始知道Log4J漏洞是公司的安全邮件:大约是21年12月10号下午收到的邮件,知道了这个组件的漏洞。
- 我是在11号下午对Log4J组件做的修复(实际上时间已经晚了,我们另一个Java团队就在10号晚上当天做了升级):我们主要是使用的.Net技术栈,少部分使用的是Python、Java Spring Boot的WebAPI结构。后来和几个搞网安的朋友以及搞Java的朋友讨论了一下,并且参加了公司组织的安全运维的会议,制定了解决方案。最后用长亭的工具扫描了没问题了,汇报了老板。
- 那么写这篇文章时间现在已经是元旦了,确实很晚了,之前忙于开发任务没时间写博文,现在元旦得空了写写记录一下。相信很多朋友已经经历完了这个漏洞,如果还有朋友没搞得,希望也能帮助一点吧~??????
b) Log4J漏洞影响范围
- 使用了Log4J版本大于2.0且小于 2.15.0-rc1。
- 使用Apache Log4j 1.X版本的应用,若开发者对JMS Appender利用不当,可对应用产生潜在的安全影响。
c) 解决思路
- 先根据Log4J的影响范围,需要确认项目中是否使用了Log4J组件,手动检查Maven的依赖项,以及依赖项的依赖项中是否存在。详情可见第二章的一种方法,当然也有很多办法都可以参考。
- 若使用了Log4J组件,且版本在漏洞影响范围内,则需制定方案。
- 【方案1】按照Log4J2最新推出的版本进行升级,升级到Apache官方打Patch的版本。
- 【方案2】替换掉Log4J的组件,一Java朋友建议替换成LogBack。
- 【方案3-缓解措施】添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true;在应用classpath下添加log4j2.component.properties配置文件,文件内容为:log4j2.formatMsgNoLookups=true;JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;限制受影响应用对外访问互联网,并在边界对dnslog相关域名访问进行检测。
- 通过一个安全运维大佬们都推荐的链接:https://log4j2-detector.chaitin.cn/。下载侦测工具,检验下效果。我用的是V2版本的侦测工具。
二、检查依赖项中是否依赖了Log4J 完成度:100%
记一个方法。IDEA的可视化工具,可以反馈出依赖项是否又依赖了Log4J。在Maven项目中右击Show Dependencies。
显示如下图:
三、侦测工具侦测结果 完成度:100%
使用了侦测工具扫描结果如图:
四、声明与参考资料 完成度:100%
原创博文,未经许可请勿转载。
如有帮助,欢迎点赞、收藏、关注。如有问题,请评论留言!如需与博主联系的,直接博客私信SCscHero即可。