openLooKeng 开源社区 Apache Log4j2 高危安全漏洞居然还未修复,建议用户不要升级


​近日,openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228),并修复失败。详细方案如下,建议所有用户不要升级。

Apache Log4j2远程代码执行漏洞修复解决方案

【漏洞描述】

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并引入了大量丰富的特性。该日志框架被广泛地用于中间件、开发框架与Web应用中,用来记录日志信息。

由于组件存在 Java JNDI 注入漏洞,当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。目前POC已公开,风险较高。

【漏洞等级】

高危,该漏洞影响范围极广,危害极大。 CVSS评分:9.8

【受影响版本】

Apache log4j 2 在 2.0 至 2.14.1 (均含)版本均受影响。

【openLooKeng漏洞排查】

问题排查一: ESconnector在运行时依赖log4j

继续排查openLooKeng最终打包server时的jar包,当前使用的是JDK自己的logging框架,没有使用log4j。 在这里插入图片描述

在对应的ES connector模块下,对lib库的分析,发现的确使用了log4j相关的库。 在这里插入图片描述

问题排查二:openLooKeng使用的是airlift,封装的JDK本身的log框架

在这里插入图片描述

同样对打包后的openLooKeng server lib库下所有的jar包进行梳理,可以看到没有log4j-api以及log4j-core。

在这里插入图片描述

问题排查三 :openLooKeng仓库ranger plugin代码

通过排查仓库的内容,并未发现相关log4j相关代码的依赖。 在ranger中的POM文件中,发现了部分关于log4j的版本声明,但是并未在后续的构建中使用。 在这里插入图片描述

在这里插入图片描述

当前openLooKeng ranger plugin依赖于apache ranger 2.1.0组件,而ranger 2.1.0组件依赖log4j2 2.13X版本,为间接依赖关系。

并且,当前ranger中,对于log4j有依赖的模块是agents-audit

在这里插入图片描述

openLooKeng的ranger plugin并不依赖log4j

【openLooKeng社区修复方案】

升级至最新组件:log4j-2.15.0,其中2.15.0的发布时间应该为2021-12-09 23:46的版本!

◎ 方案1 - 修改代码

针对ES connector 和Ranger plugin,更新代码,移除log4j的依赖。关联PR如下 :

备注:由于Ranger社区尚未修复log4j问题,因此建议用户在使用ranger plugin时,按照方案2的建议配置openLooKeng参数。openLooKeng社区会在ranger社区修复log4j2问题之后更新ranger到最新版本。

◎ 方案2 - 修改配置规避问题

针对无法做代码改动的环境,如已在生产环境部署openLooKeng 1.4.0之前的版本。建议在JVM.config文件中,添加如下配置:

-Dlog4j2.formatMsgNoLookups=true

上述便是openLooKeng针对Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228)所提供的修复方案,当前漏洞状态已修复。详细文档可参考: https://openlookeng.io/zh-cn/security/2021-1213/sa-v2.html

欢迎使用openLooKeng,如果您有任何疑问与建议,请在社区代码仓中提Issue,或加小助手进入专属交流群。

openLooKeng, Make Big Data Simplified


相关文章

2021-12-16

这是一个非常现实的问题,我们姑且将这个问题称之为“开源可持续性问题”。通常来说,一个开源项目,要不就是反响平平无法形成生态,导致开发者热情逐渐降低、慢慢停掉;或者项目是大热门,很多个人和公司都在用,但

2021-12-24

期:2021-12-23 漏洞简述 2021年12月23日,360CERT监测发现Apache官方发布了安全通告 ,修复了多个漏洞,其中包含的漏洞编号有:CVE-2021-44224、CVE-2021-44790,漏洞等级:高危,漏洞评分:8.2。 Apache HTTP Server是Apache软件基金会的一

2021-12-29

Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第五个 RCE 和第六个非常严重的漏洞,其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前,Apache

2022-03-31

近日,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,、外媒 、 等站点对该漏洞进行了报道。 据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方

2022-07-07

Apache Dubbo 2.7.16 已发布,这是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用、智能容错和负载均衡,以及服务自动注册和发现。 Feature Feat:consumer 支持指定序列化类型 #9550 F

2022-03-09

CM4all 的安全研究员 Max Kellermann 披露了一个 Linux 内核的高危提权漏洞:脏管道 (Dirty Pipe)。漏洞编号为 CVE-2022-0847。 据介绍,此漏洞自 5.8 版本起就已存在。非 root 用户通过注入和覆盖只读文件中的数据,从而获得 root 权限

2022-04-01

存在,只是没有官宣。 就在不久前(3月31日晚),Spring 社区发布了一篇名为《》的文章,官宣了最近网传的Spring漏洞。这也证实了网传漏洞确实存在,并且并非最近很多文章说提到的3月28、29日公布的CVE,如果你是照着那些文

2022-09-19

Apache Struts 小组宣布,Apache Struts 6.0.3 版现已作为“General Availability”版本提供。具体更新内容包括: 将 async 和速度插件添加到 bom #568 [WW-5191] 修复了 <s:textarea/> 标签中 maxLength 和 minLength 属性的位置 #572 [WW-5185] 重

2022-09-10

] 在 9 月 1 号顺利通过投票,正式成为全球最大的开源基金会 Apache 软件基金会 (ASF) 的孵化项目。这是 StreamPark 项目的新起点,意味着开源社区化协作将会变得更加规范以及国际化。   什么是 StreamPark StreamP

2021-12-20

Apache Log4j 的 2.0-alpha1 到 2.16.0 版本存在新的漏洞 CVE-2021-45105 ,此漏洞评分 7.5 ,且在刚发布的 Log4j 2.17.0 (Java 8) 中得到了修复。如果把安全公司 Praetorian 发现的第三个信息泄露漏洞也算进去,这应该是 Log4j 的第四个漏洞了。

2021-12-17

布: Apache Log4j 2.16.0 已发布 Apache Log4j 2.15.0 发布,安全漏洞已得到解决 不过安全公司 Praetorian 的研究人员昨日表示,2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。 与此同时

2022-09-29

Apache Flink 1.14.6 现已发布,这是一个错误修复版本。包括针对 Flink 1.14 的 34 个错误修复、漏洞修复和小改进。有关所有更改的完整列表可参阅:JIRA。官方强烈建议所有用户升级到 Flink 1.14.6。 具体更新内容包括: Bug [FLINK-248

2022-09-23

大版本升级 [安全] 强制升级 xnio 版本至 3.8.8.Final,修复安全漏洞 (CVE-2022-0084) 其它更新 [新增] 新增 Spring Authorization Server 历史 Token 清理逻辑 [修复] 前端工程编译结果与 Nginx 一起打包为 Docker 后,在浏览器刷新页面出现

2022-06-13

Apache Maven 3.8.6 现已发布。Apache Maven 是一个项目管理和构建工具。基于项目对象模型(POM)的概念, Maven 可以从中心位置管理项目的构建、报告和文档。 此版本更新内容如下: Bug [MNG-7432] - [REGRESSION] Resolver 会话包含非 MavenWor