颤抖吧 Javaer， log4j 史诗级漏洞

2021-12-10 09:16:39 +08:00

eviladan0s

漏洞预警： https://mp.weixin.qq.com/s/WBbAthHY36qY0w9e4UUl4Q

本质上是 log4j 里的 lookup 方法存在 jndi 注入（看图）： https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/20211210091200YOXTYd.jpg

百度、谷歌、苹果的框全都沦陷了： https://adan0s-1256533472.cos.ap-nanjing.myqcloud.com/uPic/202112100913225Wncr7.png

修复措施：在 log4j2.component.properties 配置文件中设置 log4j2.formatMsgNoLookups=true ，可以暂时缓解避免受漏洞的影响。

之所以是史诗级，是因为不仅 log4j 使用范围广，而且日志数据你不知道流到哪里的 log4j 就会触发

34540 次点击

所在节点

Java

189 条回复

littlewing

2021-12-10 13:00:39 +08:00

@aguesuka intel 的 CPU 也有漏洞，建议也别用了

aguesuka

2021-12-10 13:04:11 +08:00

@littlewing 滑坡谬误, 看 64 楼

iold

2021-12-10 13:08:03 +08:00

@Mithril #71 是的，后续已经确认 1.x 也受影响，而且 1.x 已经结束生命周期了。哎，非 Java boy, 难受啊，这么大的跨度，肯定不是升级个依赖就能解决的。

justs0o

2021-12-10 13:10:24 +08:00

rc2 也影响

MoYi123

2021-12-10 13:12:26 +08:00

@littlewing 虽然 log4j 性能很好,水平很高, 但是就单单打个日志的功能我觉得以大多数人的水平都能做个勉强能用的出来, ,至于上面的 windows 和 CPU,我反正是做不了.

pengtdyd

2021-12-10 13:14:20 +08:00

颤抖个啥，这不是又有收维护费的理由了嘛

justs0o

2021-12-10 13:15:05 +08:00

CORRECTION: log4j 1.x contains a JMS Appender which can use JNDI. So I would say that, yes, log4j 1.x is also impacted by this vulnerability

ZeroDu

2021-12-10 13:22:17 +08:00

上面看你们一顿乱说，也没人贴怎么复现啊

EPr2hh6LADQWqRVH

2021-12-10 13:25:54 +08:00

服务器设置 cron job 每 30 秒运行 killall java ，防微杜渐。

manami

2021-12-10 13:31:17 +08:00

内网应用不慌

salmon5

2021-12-10 13:35:57 +08:00

@avastms #89 拔网线，完美解决

joshuacavell

2021-12-10 13:51:23 +08:00

现在 1.x 也受影响了,而且不给升级
https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

RainyH2O

2021-12-10 13:51:36 +08:00

泥潭也有那么多人分不清日志接口框架和日志实现框架的区别么？

aaa5838769

2021-12-10 14:02:03 +08:00

logging-log4j2-log4j-2.15.0-rc2.tar.gz
你们是如何编译成功的，用的这个./mvnw clean package -DskipTest 命令，提示 [Failed to execute goal org.apache.maven.plugins:maven-toolchains-plugin:1.1:toolchain (default) on project log4j-api-java9]
jdk 版本是 17

NULL2020

2021-12-10 14:04:29 +08:00

@gadfly3173 #76 特么的，自己还得装个 JDK9 吗？

@aaa5838769 #94 同样的问题

jwh199588

2021-12-10 14:06:03 +08:00

@Seayon 已经完美复现

sshang

2021-12-10 14:18:25 +08:00

@jwh199588 怎么复现的，传入的参数写什么

wangdashuai

2021-12-10 14:19:28 +08:00

我把 java9 相关的全部删了

tqyq88

2021-12-10 14:21:43 +08:00

System.out.println 保平安

ohwind

2021-12-10 14:30:25 +08:00

@aguesuka 你不用库没问题，你可以去找一个完美无瑕的库去用，请问你如何得出的不用”作者开发的其他框架“这个结论？

第 5 页／共 10 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/821241

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.