一介闲人
一介闲人
Apache Log4j 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
由于 Apache Log4j 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
在ELK日志系统中,Kibana、Beats 不受任何影响。
Elasticsearch、Logstash 受到漏洞影响,需要紧急修复(尤其外网对外提供服务的集群)。
找到安装配置目录:/etc/elasticsearch/的 jvm.options文件添加
-Dlog4j2.formatMsgNoLookups=true
重新启动elasticsearch服务
systemctl restart elasticsearch
查找log4j*.jar文件
find / -name log4j*.jar
cd /usr/share/logstash/logstash-core/lib/jars
备份log4j-core-2.12.1.jar 包,把jar 移动到log4j文件夹里面,jar命令解压log4j-core-2.12.1.jar ,并删除log4j-core-2.12.1.jar文件。
cp log4j-core-2.12.1.jar log4j-core-2.12.1-back.jar
mkdir log4j
mv log4j-core-2.12.1.jar ./log4j
cd log4j
jar -xvf log4j-core-2.12.1.jar
rm -rf log4j-core-2.12.1.jar
删除log4j-core-2.12.1.jar 的 JndiLoo.class 漏洞类,重新jar打包,把新的log4j-core-2.12.1.jar拷贝到原来的目录里面覆盖老的jar。
rm -rf org/apache/logging/log4j/core/lookup/JndiLoo.class
jar -cvf log4j-core-2.12.1.jar ./
cp log4j-core-2.12.1.jar ../
重新启动logstash服务
systemctl restart logstash
评论