平臺(tái)日志架構(gòu)說明log4j漏洞問題解析

Log4j是Apache的一個(gè)開源項(xiàng)目，通過使用Log4j，我們可以控制日志信息輸送的目的地是控制臺(tái)、文件、GUI組件，甚至是套接口服務(wù)器、NT的事件記錄器、UNIX?Syslog守護(hù)進(jìn)程等；我們也可以控制每一條日志的輸出格式；通過定義每一條日志信息的級(jí)別，我們能夠更加細(xì)致地控制日志的生成過程。最令人感興趣的就是，這些可以通過一個(gè)配置文件來靈活地進(jìn)行配置，而不需要修改應(yīng)用的代碼。

日志是應(yīng)用軟件中不可缺少的部分，Apache的開源項(xiàng)目log4j是一個(gè)功能強(qiáng)大的日志組件,提供方便的日志記錄。

漏洞原理官方表述是：Apache Log4j2 中存在JNDI注入漏洞，當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志記錄時(shí)，即可觸發(fā)此漏洞，成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼。

通俗簡單的說就是：在打印日志的時(shí)候，如果你的日志內(nèi)容中包含關(guān)鍵詞?${，攻擊者就能將關(guān)鍵字所包含的內(nèi)容當(dāng)作變量來替換成任何攻擊命令，并且執(zhí)行。

漏洞檢測方案

1、通過流量監(jiān)測設(shè)備監(jiān)控是否有相關(guān) DNSLog 域名的請求

2、通過監(jiān)測相關(guān)日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來發(fā)現(xiàn)可能的攻擊行為。

漏洞修復(fù)方案

Apache 官方已經(jīng)發(fā)布了測試補(bǔ)丁，中招的用戶趕緊升級(jí)最新的安全版本吧，

補(bǔ)丁下載：github.com/apache/loggi

最近我們公司還是掃描了一下這個(gè)玩意，順便搞了一下ES的漏洞，真是太難了，本來搞個(gè)理財(cái)開發(fā)就挺累的啦！

時(shí)候不早了，我們下期見！