记Java程序Log4J漏洞的解决过程

阅文时长 | 0.51分钟 字数统计 | 827.2字符
主要内容 | 1、引言&背景 2、检查依赖项中是否依赖了Log4J 3、侦测工具侦测结果 4、声明与参考资料
『记Java程序Log4J漏洞的解决过程』
编写人 | SCscHero 编写时间 | 2022/1/2 PM6:35
文章类型 | 系列 完成度 | 已完成
座右铭 每一个伟大的事业,都有一个微不足道的开始。

一、引言&背景   完成度:100%

a) 问题&时间线

  1. 开始知道Log4J漏洞是公司的安全邮件:大约是21年12月10号下午收到的邮件,知道了这个组件的漏洞。
  2. 我是在11号下午对Log4J组件做的修复(实际上时间已经晚了,我们另一个Java团队就在10号晚上当天做了升级):我们主要是使用的.Net技术栈,少部分使用的是Python、Java Spring Boot的WebAPI结构。后来和几个搞网安的朋友以及搞Java的朋友讨论了一下,并且参加了公司组织的安全运维的会议,制定了解决方案。最后用长亭的工具扫描了没问题了,汇报了老板。
  3. 那么写这篇文章时间现在已经是元旦了,确实很晚了,之前忙于开发任务没时间写博文,现在元旦得空了写写记录一下。相信很多朋友已经经历完了这个漏洞,如果还有朋友没搞得,希望也能帮助一点吧~??????

b) Log4J漏洞影响范围

  1. 使用了Log4J版本大于2.0且小于 2.15.0-rc1。
  2. 使用Apache Log4j 1.X版本的应用,若开发者对JMS Appender利用不当,可对应用产生潜在的安全影响。

c) 解决思路

  1. 先根据Log4J的影响范围,需要确认项目中是否使用了Log4J组件,手动检查Maven的依赖项,以及依赖项的依赖项中是否存在。详情可见第二章的一种方法,当然也有很多办法都可以参考。
  2. 若使用了Log4J组件,且版本在漏洞影响范围内,则需制定方案。
  3. 【方案1】按照Log4J2最新推出的版本进行升级,升级到Apache官方打Patch的版本。
  4. 【方案2】替换掉Log4J的组件,一Java朋友建议替换成LogBack。
  5. 【方案3-缓解措施】添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true;在应用classpath下添加log4j2.component.properties配置文件,文件内容为:log4j2.formatMsgNoLookups=true;JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;限制受影响应用对外访问互联网,并在边界对dnslog相关域名访问进行检测。
  6. 通过一个安全运维大佬们都推荐的链接:https://log4j2-detector.chaitin.cn/。下载侦测工具,检验下效果。我用的是V2版本的侦测工具。

二、检查依赖项中是否依赖了Log4J   完成度:100%

记一个方法。IDEA的可视化工具,可以反馈出依赖项是否又依赖了Log4J。在Maven项目中右击Show Dependencies。

显示如下图:

三、侦测工具侦测结果   完成度:100%

使用了侦测工具扫描结果如图:

四、声明与参考资料   完成度:100%

原创博文,未经许可请勿转载。

如有帮助,欢迎点赞、收藏、关注。如有问题,请评论留言!如需与博主联系的,直接博客私信SCscHero即可。

文章标题:记Java程序Log4J漏洞的解决过程
文章链接:https://www.dianjilingqu.com/3289.html
本文章来源于网络,版权归原作者所有,如果本站文章侵犯了您的权益,请联系我们删除,联系邮箱:saisai#email.cn,感谢支持理解。
THE END
< <上一篇
下一篇>>