社区编辑申请
注册/登录
引爆全球的 Log4j2 核弹级漏洞,Jndi 到底是个什么鬼?
安全 漏洞
JNDI 就是 Java 的一套规范,相当于把某个资源进行注册,再根据资源名称来查找定位资源。

背景

前段时间,Log4j2, Logback 日志框架频频爆雷:

炸了!Log4j2 再爆漏洞,v2.17.1 横空出世。。。

Logback 也爆雷了,惊爆了。。。

究其原因,很大一部分就是因为 JNDI 这个玩意。。。

JNDI

JNDI:Java Naming and Directory Interface,即:Java 命名和目录接口,它专为 Java 应用程序提供命名和目录功能。

JNDI 架构图:

如图,JNDI 包含以下两部分:

1)JNDI API:

Java 应用程序即是通过 JNDI API 来访问各种命名和目录服务的。

2)JNDI SPI(服务提供接口)

Java 应用程序通过 JNDI SPI 插入各种命名和目录服务的,然后通过 JNDI API 进行访问。

比如,没用 JNDI 之前,你可能要在 Java 代码中写死一些 JDBC 的数据库配置,有了 JNDI,就可以把数据源定义一种资源,然后通过名称进行查找,示例代码如下:

  1. Connection conn = null;  
  2. try {  
  3.  Context ctx = new InitialContext(); 
  4.  DataSource ds = (Datasource) ctx.lookup("java:MysqlDataSource"); 
  5.  conn = ds.getConnection(); 
  6.  ... 
  7. } catch(Exception e) { 
  8.  ... 
  9. } finally { 
  10.  ... 

当然,数据源及配置现在都是 Spring 进行管理了,这里只是介绍 JNDI 的一种用法。

说白了,JNDI 就是 Java 的一套规范,相当于把某个资源进行注册,再根据资源名称来查找定位资源。

要使用 JNDI,必须要有一个 JDNI 类,以及 1 个或者多个服务提供者(SPI),比如,在 JDK 中就包含以下几个服务提供者:

  • 轻量级目录访问协议 (LDAP)
  • 通用对象请求代理体系结构 (CORBA)
  • 通用对象服务命名服务 (COS)
  • Java 远程方法调用 (RMI)
  • 域名服务 (DNS)

这里的 LDAP 协议正是频频爆漏洞的根源,攻击者屡试不爽。

Log4j2 漏洞回顾

网上很多复现的示例,为了不造成更大影响,这里就不实战演示了,示例代码如下:

  1. /** 
  2.  * 作者:栈长 
  3.  * 来源公众号:Java技术栈 
  4.  */ 
  5. public class Test { 
  6.  
  7.     public static final Logger logger = LogManager.getLogger(); 
  8.      
  9.     public static void main(String[] args) { 
  10.         logger.info("${jndi:ldap://localhost:8080/dangerious}"); 
  11.     } 
  12.      

这就是 Log4j2 核弹级漏洞的主因!

LDAP 协议在上面有提到,它是一个开放的应用协议,也是 JDK JNDI 下面的一个服务提供者,用于提供目录信息访问控制。

漏洞正是利用了 JDNI 中的 ldap 协议,以上代码中的 localhost 如果是攻击者的地址,就会造成远程代码执行漏洞,后果就不堪设想。。

这是因为 Log4j2 有一个 Lookups 功能,它提供了一种向 Log4j 配置中添加值的方法,也就是通过一些方法、协议去读取特定环境中的信息,Jndi Lookup 就是其中一种:

经过一系列的版本修复再调整,从 Log4j v2.17.0 开始,JNDI 操作需要通过以下参数主动开启:

  1. log4j2.enableJndiLookup=true 

现在这种 jndi:ldap 协议查找方式也被 Log4j2 Lookups 干掉了,仅支持 java 协议或者没有协议这种查找方式了。

Log4j2 漏洞的后续进展,栈长也会持续跟进,关注公众号Java技术栈,公众号第一时间推送。

结语

Log4j2 Lookups 引发的漏洞真不少,这阵子一直在爆雷,这还真是个鸡肋功能,有几个人用到了?

当然,这阵子的漏洞不全是因为 JNDI 造成的,JNDI 它只是提供了一套规范,用得不好总不能怪它吧?所以,我们也不能把责任全推到 JNDI 身上,Log4j2 Lookups 功能脱不了干系,既然提供了 Jndi Lookup 功能,但对其影响面考虑的太少了。。

一个日志框架,最主要的目的是记录日志,虽然提供了许多其他丰富的功能,但如果没有考虑到位,反而会引发严重后果,毕竟安全第一,但也没办法,用开源就得接受开源的利弊。

还有人说,自己开发,这可能是气话了。主流开源的有很多公司在用,爆漏洞还有大厂反馈,能第一时间感知,自己开发的,啥时候爆雷了,爆在哪了,怎么死的都不知道,能不能做好一款产品和持续维护还是另外一回事。

参考文档:

https://docs.oracle.com/javase/jndi/tutorial/getStarted/overview/index.html

https://logging.apache.org/log4j/2.x/manual/lookups.html

本文转载自微信公众号「Java技术栈」,可以通过以下二维码关注。转载本文请联系Java技术栈公众号。

 

责任编辑:武晓燕 来源: Java技术栈
相关推荐

2021-12-13 01:49:34

2022-07-27 08:15:39

漏洞Log4j网络攻击

2022-03-25 13:42:15

Log4j漏洞网络安全

2021-12-11 19:04:38

2021-12-23 09:47:36

2021-12-10 15:08:09

2021-12-21 08:51:10

2022-01-24 10:02:53

2021-12-13 06:56:46

2021-12-14 23:44:26

2021-12-14 11:07:55

2021-12-11 13:29:36

2021-12-30 08:55:41

2022-03-30 11:29:53

漏洞补丁Spring

2022-01-27 09:16:08

2021-12-14 06:59:39

2021-12-29 14:47:43

2021-12-23 15:29:07

2022-01-06 09:52:39

2022-01-07 07:51:58

同话题下的热门内容

什么是UPnP?它有何危险?经销商技术部-防SQL注入实践Nomad Bridge漏洞利用被窃取1.9亿美元思科修复了VPN路由器中关键远程代码执行漏洞缓冲区溢出漏洞那些事:C -gets函数

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号