继上篇文章之后,这么严重的问题,肯定也是需要立即解决的,以下为我在项目中解决的方案和步骤,仅供参考。
1、对于jdk1.8及以上版本,直接升级log4j-core和log4j-api的版本即可,最新消息,2.15.0还是存在问题,官方已经发布最新2.16.0,但是,现在又出了最新的2.17.0,建议使用2.17.0;
<dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.17.0</version></dependency><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.17.0</version></dependency>
2、对于JDK1.7版本,建议升级JDK,然后再升级log4j-core和log4j-api,因为该漏洞目前在Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响;
3、当然,因为升级JDK版本牵扯的组件比较多,审计比较复杂,经过楼主验证,JDK1.7版本,也可以删除自己代码中使用log4j-core的依赖,使用其他日志输出方法;目前出现漏洞主要是在log4j-core和log4j-api包中,不使用log4j-core和log4j-api包,会导致第三方组件不输出日志,但是,并不会出现漏洞,所以,也是一种解决方案;
4、如果短时间没有办法升级JDK版本,并且,也不能删除log4j-core包,请使用缓解措施;
jvm参数 -Dlog4j2.formatMsgNoLookups=truelog4j2.formatMsgNoLookups=True系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
5、使用 2.16.0之前版本的用户若无法升级,可通过执行以下命令删除jar包中漏洞相关的class文件,然后重启服务即可:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
6、对于这个漏洞,最简单的处理逻辑还是增加过滤器,将特殊字符进行过滤,也可以解决问题;
最后,问题处理完成后,请记得使用上一种方式进行验证。
如果觉得《log4j2 JNDI注入漏洞问题处理》对你有帮助,请点赞、收藏,并留下你的观点哦!
