3

log4j安全漏洞问题

 2 years ago
source link: https://www.oschina.net/question/3576011_2324699
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

log4j安全漏洞问题

tostyle 发布于 12/15 09:50
阅读 150

大佬们,咨询下,项目中搜到关于log4j的依赖就这两个,但是没有漏洞说的Apache log4j-core 包 不知道受影响没?我的判断是不影响,不知道对不对。

魔力猫
12/15 11:02

你注意一下,出问题的是log4j2,不是log4j。请看清BUG存在的版本号。2.0-2.14

ArchitectureMaster
昨天 20:40

一般自己开发的项目使用log4j版本可以控制,但是如果使用的是第三方的框架或服务,如最常用的搜索服务器solr、消息队列服务Kafka这时你是没办法更改别人成品应用中的jar包引入的。这时你就要注意了,已经说明了是log写入时会有一个lookup回写执行,加上利用jndi映射了远程rmi的地址到本地api,导致了log时$执行黑客服务器里的远程可执行代码的jndi rmi 地址,导致服务器的控制权被窃。

最直接的解决办法关闭JNDI。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK