引爆全球的 Log4j2 核彈級漏洞,JNDI 到底是個什麼鬼?
背景
前段時間,Log4j2, Logback 日誌框架頻頻爆雷:
炸了!Log4j2 再爆漏洞,v2.17.1 橫空出世。。。
究其原因,很大一部分就是因為 JNDI 這個玩意。。。
JNDI
JNDI:Java Naming and Directory Interface,即:Java 命名和目錄介面,它專為 Java 應用程式提供命名和目錄功能。
JNDI 架構圖:
如圖,JNDI 包含以下兩部分:
1)JNDI API:
Java 應用程式即是通過 JNDI API 來訪問各種命名和目錄服務的。
2)JNDI SPI(服務提供介面)
Java 應用程式通過 JNDI SPI 插入各種命名和目錄服務的,然後通過 JNDI API 進行訪問。
比如,沒用 JNDI 之前,你可能要在 Java 程式碼中寫死一些 JDBC 的資料庫配置,有了 JNDI,就可以把資料來源定義一種資源,然後通過名稱進行查詢,示例程式碼如下:
Connection conn = null;
try {
Context ctx = new InitialContext();
DataSource ds = (Datasource) ctx.lookup("java:MysqlDataSource");
conn = ds.getConnection();
...
} catch(Exception e) {
...
} finally {
...
}
當然,資料來源及配置現在都是 Spring 進行管理了,這裡只是介紹 JNDI 的一種用法。
說白了,JNDI 就是 Java 的一套規範,相當於把某個資源進行註冊,再根據資源名稱來查詢定位資源。
要使用 JNDI,必須要有一個 JDNI 類,以及 1 個或者多個服務提供者(SPI),比如,在 JDK 中就包含以下幾個服務提供者:
- 輕量級目錄訪問協議 (LDAP)
- 通用物件請求代理體系結構 (CORBA)
- 通用物件服務命名服務 (COS)
- Java 遠端方法呼叫 (RMI)
- 域名服務 (DNS)
這裡的 LDAP
協議正是頻頻爆漏洞的根源,攻擊者屢試不爽。
Log4j2 漏洞回顧
網上很多復現的示例,為了不造成更大影響,這裡就不實戰演示了,示例程式碼如下:
``` /* * 作者:棧長 * 來源公眾號:Java技術棧 / public class Test {
public static final Logger logger = LogManager.getLogger();
public static void main(String[] args) {
logger.info("${jndi:ldap://localhost:8080/dangerious}");
}
} ```
這就是 Log4j2 核彈級漏洞的主因!
LDAP 協議在上面有提到,它是一個開放的應用協議,也是 JDK JNDI 下面的一個服務提供者,用於提供目錄資訊訪問控制。
漏洞正是利用了 JDNI 中的 ldap
協議,以上程式碼中的 localhost
如果是攻擊者的地址,就會造成遠端程式碼執行漏洞,後果就不堪設想。。
這是因為 Log4j2 有一個 Lookups 功能,它提供了一種向 Log4j 配置中新增值的方法,也就是通過一些方法、協議去讀取特定環境中的資訊,Jndi Lookup 就是其中一種:
經過一系列的版本修復再調整,從 Log4j v2.17.0 開始,JNDI 操作需要通過以下引數主動開啟:
log4j2.enableJndiLookup=true
現在這種 jndi:ldap
協議查詢方式也被 Log4j2 Lookups 幹掉了,僅支援 java
協議或者沒有協議這種查詢方式了。
Log4j2 漏洞的後續進展,棧長也會持續跟進,關注公眾號Java技術棧,公眾號第一時間推送。
結語
Log4j2 Lookups 引發的漏洞真不少,這陣子一直在爆雷,這還真是個雞肋功能,有幾個人用到了?
當然,這陣子的漏洞不全是因為 JNDI 造成的,JNDI 它只是提供了一套規範,用得不好總不能怪它吧?所以,我們也不能把責任全推到 JNDI 身上,Log4j2 Lookups 功能脫不了干係,既然提供了 Jndi Lookup 功能,但對其影響面考慮的太少了。。
一個日誌框架,最主要的目的是記錄日誌,雖然提供了許多其他豐富的功能,但如果沒有考慮到位,反而會引發嚴重後果,畢竟安全第一,但也沒辦法,用開源就得接受開源的利弊。
還有人說,自己開發,這可能是氣話了。主流開源的有很多公司在用,爆漏洞還有大廠反饋,能第一時間感知,自己開發的,啥時候爆雷了,爆在哪了,怎麼死的都不知道,能不能做好一款產品和持續維護還是另外一回事。
參考文件:
- http://docs.oracle.com/javase/jndi/tutorial/getStarted/overview/index.html
- http://logging.apache.org/log4j/2.x/manual/lookups.html
Log4j2 漏洞的後續進展,棧長也會持續跟進,關注公眾號Java技術棧,公眾號第一時間推送。
版權宣告!!!
本文系公眾號 "Java技術棧" 原創,轉載、引用本文內容請註明出處,抄襲、洗稿一律投訴侵權,後果自負,並保留追究其法律責任的權利。
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2022最新版)
4.Spring Boot 2.6 正式釋出,一大波新特性。。
覺得不錯,別忘了隨手點贊+轉發哦!
- 有了 for (;;) 為什麼還需要 while (true) ? 到底哪個更快?
- 再見,Spring Security OAuth!!
- Spring Boot Vue Shiro 實現前後端分離、許可權控制
- Java 技術棧中介軟體優雅停機方案設計與實現全景圖
- Java 技術棧中介軟體優雅停機方案設計與實現全景圖
- JHipster:Java和JavaScript的全棧框架
- 面試官:Spring 註解 @After,@Around,@Before 的執行順序是?
- C 與Java“相愛相殺”:一個步步緊逼,一個節節敗退
- C 即將超越Java、360企業安全雲或將上線“一鍵強制下班”功能、Glibc增加面向Arm SVE優化的記憶體拷貝 ...
- 面向開發人員的映象和容器實踐指南
- 面試官:生成訂單 30 分鐘未支付,則自動取消,該怎麼實現?
- 臥槽!!IntelliJ IDEA 居然偷偷改程式碼。。
- 鑑權 5 兄弟:cookie、session、token、jwt、單點登入,終於有人說清楚了!
- 高逼格的 SQL 寫法:行行比較,別問為什麼,問就是逼格高。。
- 你見過最垃圾的程式碼長什麼樣?(來長長見識)
- 不捲了!技術團隊成員集體辭職
- 引爆全球的 Log4j2 核彈級漏洞,JNDI 到底是個什麼鬼?
- TIOBE 1月程式語言排行榜出爐:Python蟬聯冠軍,C和JAVA分列二三
- 再見,CentOS!2021/12/31 宣佈正式停服。。
- 基於 ElasticSearch 實現站內全文搜尋,寫得太好了!