51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

阿里云被工信部暂停合作,惹事的Log4j2漏洞该如何解决?

作者:鸢玮、云昭
安全 漏洞 应用安全
近日,一众开发和维护人员正马不停蹄地开始修补 Log4j2 漏洞,但要真正修复完毕,还有很多工作要做。

[[441665]]

 最近几天,各家互联网大厂的程序员朋友们,都快被 Log4j2 漏洞折磨疯了,纷纷启动自家软件的漏洞修复。今天早上,阿里云被爆出作为工信部网络安全威胁信息共享合作平台,阿里云在发现该漏洞时并未及时向工信部汇报,所以被暂停合作 6 个月。在暂停期满后,根据阿里云的实际整改情况研究是否恢复合作。

该漏洞最早被爆出是在 12 月 10 日凌晨。12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。

随着漏洞爆出,各家大厂纷纷发布公告,斗鱼、京东、网易、深信服和汽车产业安全应急响应中心皆发文表示,鉴于该漏洞影响范围比较大,业务自查及升级修复需要一定时间,暂不接收 Log4j2 相关的远程代码执行漏洞。

那么这个漏洞到底是什么?怎么会让各大厂连夜整合修复,下场发布公告?为什么波及范围会这么广泛?

1、Log4j 是什么?

Log4j ( Log For Java )是 Java 开源日志框架,它在用 Java 敲代码的码农群体里可以说是无人不知,无人不晓。

众所周知,程序员写完代码之后并不会对代码进行马上使用,而是进行一系列的测试来确定代码是否可行。

但是代码在进行测试的时候是黑盒测试状态,你根本不知道代码在测试的过程中哪里出了问题。所以这个时候,日志的价值就体现出来了,它就好像一张演算稿纸,你可以在上面进行自己能看得懂的标记,方便随时进行检验测算。

而 Log4j ,就是这样一个开源的日志框架,它记录了代码在测试过程中的每一步,在代码测试跑完的时候,就可以有针对性地进行修改,效率也更高。它里面整合了不少在修改代码时会用到的常用功能,比如日志管理、输出变量等实用功能。

事实上,日志是程序员们经常使用的一个工具,就像早年的英雄联盟盒子一样,虽然不用也可以打游戏,但是用了之后我可以更方便地打游戏,所以,为什么不用呢?

2、Log4j2 漏洞是怎么造成的?

Log4j2 是一个开源项目,仅有几个人进行维护。2014 年,Log4j2 发布,它对 Log4j 进行了重大升级,完全重写了 Log4j 的日志实现。Log4j2 提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题,目前已经更新到 2.17.0 版本。

最先发现漏洞的,是阿里云安全团队中一位大佬。据他的说法,这个漏洞很早就被国外的安全代码扫描平台扫出来了,圈内的程序员大佬们也都在等待官方的修复,没有声张。

该漏洞是由 Log4j2 提供的 Lookup 功能造成的。从字面上理解,这个功能就是一个用来搜索内容的接口,Log4j2 也在 Lookup 的功能下,提供了不少实现的途径,问题就出在这个叫 JNDI 的途径上。

JNDI 被 Java 允许通过远程连接的方式来加载文件,这个远程地址可以是开发者自己的服务器,也可以是外界的服务器。黑客只要通过 JNDI 的方法连接上自己的恶意服务器,就可以堂而皇之从这个接口进来,进而在程序内部为所欲为。

最可怕的地方在于实现起来没什么门槛,只要用一串简单的字符,就能轻易攻破服务器,并在上面运行各种代码。这别说是窃取个人信息了,黑客想要远程挟持、瘫痪企业级的服务器,那也是毫无阻碍。

这个漏洞有多夸张?不仅包括了阿里、腾讯、百度、网易、新浪等一众国内的互联网大厂纷纷中枪,就连手机,耳机,汽车等硬件都有可能中招……

对于这次漏洞,有网友评价说道,“可以说是灾难性的漏洞,比之前的 fastjson 和 shiro 还要严重,这个漏洞估计在之后三四年内还会继续存在…”

3、紧急修复方案

针对此次漏洞,给大家分享一些网上的紧急方案:


  • 紧急缓解措施

(1)修改 jvm 参数

-DLog4j2.formatMsgNoLookups=true

(2)修改配置 Log4j2.formatMsgNoLookups=True

(3)将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true


  • 建立防火墙

目前,大部分公司的应急方案是建立防火墙。在 Log4j2 做一个触发式的拦截程序,把与漏洞相关内容,提前进行阻拦。


  • 版本更新

检查所有使用了 Log4j2 组件的系统,并且进行更新修复。官方目前对漏洞进行了积极修复,版本更新到 2.17。

4、结语

由于 Log4j2 漏洞不仅影响 Java 应用程序,还影响使用该功能的任何服务,所以该漏洞的影响范围非常的广泛。虽然维护人员正在评估该漏洞的危害范围,但是由于该插件非常受欢迎,被数百万企业应用程序和服务所使用,所以目前无法对影响范围做出具体的评估。

每个人都知道安全的重要性,安全本身并不是一个能够创造价值的功能,反而更像是需要消耗价值以确保功能稳定的功能。网络攻击成功的可能性以及潜在损失的程度是难以预估的,虽然好多人正在通过漏洞修补方式来解决问题,但该漏洞带来的影响可能会持续三四年之久。


责任编辑:武晓燕 来源: 51CTO技术栈
阿里云Log4j2漏洞
相关推荐
阿里暂停合作惹事Log4j2漏洞如何解决? - 网络·安全技术周刊第517期
近日,一众开发和维护人员正马不停蹄地开始修补Log4j2漏洞,但要真正修复完毕,还有很多工作要做。

2021-12-23 10:11:21

网络安全网络安全技术周刊
发现 Log4j2 漏洞程序员绩效该打 3.75 还是 3.25?
相信大家最近都看到了两个新闻,一个是Log4j2的漏洞事件,一个是阿里云被工信部暂停合作六个月。这两个事件的关联是因为工信部发布通告说阿里云在合作期间未及时告知合作伙伴Log4j2的漏洞,没有有效支撑工信部开展网络安全威胁和漏洞管理。

2021-12-29 06:54:23

Log4j2 漏洞绩效
通报阿帕奇Log4j2重大安全漏洞
昨日国家工信部官方发布公告,通报了阿帕奇Log4j2组件中的一个重大安全漏洞。

2021-12-20 09:32:55

Log4j2漏洞攻击
从源码看Log4j2、FastJson漏洞
远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器的CPU不得美滋滋了。

2021-12-30 08:55:41

Log4j2FastJson漏洞
Log4j2 漏洞检测工具清单
汽车只能开这么快,进程只能使用这么多内存,程序员只能喝这么多咖啡。我们的生产力受到资源的限制,我们有能力更好或更差地利用它们。

2022-01-27 09:16:08

CPU内存.NET
阿里都被责令整改了,Log4j2漏洞惹出乱子何时休?
一位安全专家表示:“从Log4j2漏洞披露以来,基本上震动全民,不管是安全从业者,还是安全爱好者抑或是做黑产、做勒索的黑客,基本上彻夜不眠,行动不断。"

2021-12-23 15:29:07

Log4j2漏洞阿里云网络安全
第一个发现高危漏洞阿里,为什么还要被暂停合作
能发现如此高危漏洞,阿里云功不可没。那为什么工信部会暂停与阿里云的合作呢

2021-12-24 10:04:57

漏洞阿里云Log4Shell
如何利用 Deepfence 来检测和弥补 Log4j2 漏洞
本文以实例的形式,向您展示如何使用的ThreatMapper和ThreatStryker,在生产环境和平台中,实时发现log4j2等潜在漏洞,并予以阻断。

2022-02-13 23:51:44

DeepfenceLog4j2漏洞
Spring Boot 应对 Log4j2 注入漏洞官方指南
Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问SpringBoot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。

2021-12-11 13:29:36

SpringBoot 官方
微软警告比SolarWinds影响更深远Log4j2漏洞利用
这家雷德蒙德科技巨头指出,世界多地的黑客已开始利用这项更复杂的日志协议技术,来远程访问受害者的设备。

2021-12-16 10:43:04

黑客网络攻击漏洞
如何解决JBoss和log4j冲突
本文说明解决jboss和log4j冲突的解决方案,此方案通过配置Java2ClassLoadingCompliance及UseJBossWebLoader为false,以及在org.jboss.logging.Log4jService的设置中加个属性来完成。

2009-06-12 17:03:51

JBoss和log4j
Apache 存在 Log4j2 远程代码执行漏洞,有哪些信息值得关注?
相信大家最近都被Apache的Log4j2的漏洞相关的文章刷屏了,不得不说这次的这个漏洞影响范围之广。

2021-12-14 06:59:39

Apache Log4j2 漏洞
引爆全球 Log4j2 核弹级漏洞,Jndi 到底是个什么鬼?
JNDI就是Java的一套规范,相当于把某个资源进行注册,再根据资源名称来查找定位资源。

2022-01-10 11:16:40

漏洞 Log4j2Jndi
FTC 警告:Log4j2 漏洞还不修,或将被采取法律行动
Log4j2的核弹漏洞爆发到现在已经1个月了,多家安全机构表示有观测到某些国家支持的黑客组织已涉及Log4j2漏洞的攻击,Log4j2的漏洞风险并没有完全消退,大家还是要重视起来,尽快做好Log4j2的版本升级等防护措施。

2022-01-11 09:56:15

Log4j2漏洞FTC
换掉Java老牌日志框架Logback,我用Log4j2
Logback算是Java里一个老牌的日志框架,从2006年开始第一个版本,迭代至今也十几年了。

2021-04-02 07:58:36

LogbackLog4j2日志
Java 日志库Log4j2注入漏洞复现,看看它危害有多大(附代码)
为什么大家都这么重视这个漏洞,今天就对这个漏洞进行复现,来认识一下它的危害性。本DEMO目的是认识该漏洞的危害性并根据您系统的情况做出针对性的防御。

2021-12-13 07:28:34

Java漏洞复现
Log4j漏洞深度回顾
Log4j漏洞对全球企业造成了复杂、高风险的威胁。由于该漏洞的威胁面巨大并且全球存在大量未修补漏洞的系统,攻击者将会继续利用该漏洞尝试发起攻击并在此过程中影响许多企业机构。但只要企业能够努力构建成熟的安全基础,就能够具备比以往更快的恢复速度。

2022-03-25 13:42:15

Log4j漏洞网络安全
Log4J漏洞可触发DoS漏洞
新的Log4j漏洞与Log4Shell类似,它也影响到了日志库。但这个DoS漏洞与ContextMap的查找有关,而不是和JNDI有关。

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞
Log4j2史诗级漏洞,影响面极大,味道不好闻!
Log4j今日被曝严重漏洞,作为Java界日志工具的杠把子,Log4j和Logback几乎统一了江湖,影响面不可谓不大。

2021-12-10 15:08:09

Log4j2漏洞日志
史诗级漏洞Log4j2引发科技巨头自查:AMD躲过一劫
这几天全球科技巨头们被一个安全漏洞Log4j2折腾得够呛,虽然它只是阿帕奇(Apache)中的一个框架,但使用太广泛了,这次的漏洞影响可以说是史诗级的。

2021-12-19 07:28:06

Log4j2漏洞AMD
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服