日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
引爆全球的Log4j2核彈級漏洞,Jndi到底是個(gè)什么鬼?

背景

前段時(shí)間,Log4j2, Logback 日志框架頻頻爆雷:

炸了!Log4j2 再爆漏洞,v2.17.1 橫空出世。。。

Logback 也爆雷了,驚爆了。。。

究其原因,很大一部分就是因?yàn)?JNDI 這個(gè)玩意。。。

JNDI

JNDI:Java Naming and Directory Interface,即:Java 命名和目錄接口,它專為 Java 應(yīng)用程序提供命名和目錄功能。

JNDI 架構(gòu)圖:

如圖,JNDI 包含以下兩部分:

1)JNDI API:

Java 應(yīng)用程序即是通過 JNDI API 來訪問各種命名和目錄服務(wù)的。

2)JNDI SPI(服務(wù)提供接口)

Java 應(yīng)用程序通過 JNDI SPI 插入各種命名和目錄服務(wù)的,然后通過 JNDI API 進(jìn)行訪問。

比如,沒用 JNDI 之前,你可能要在 Java 代碼中寫死一些 JDBC 的數(shù)據(jù)庫配置,有了 JNDI,就可以把數(shù)據(jù)源定義一種資源,然后通過名稱進(jìn)行查找,示例代碼如下:

 
 
 
    
  
  
  
  1. Connection conn = null;  
    2. 
  
  
  
  2. try {  
    3. 
  
  
  
  3.  Context ctx = new InitialContext(); 
    4. 
  
  
  
  4.  DataSource ds = (Datasource) ctx.lookup("java:MysqlDataSource"); 
    5. 
  
  
  
  5.  conn = ds.getConnection(); 
    6. 
  
  
  
  6.  ... 
    7. 
  
  
  
  7. } catch(Exception e) { 
    8. 
  
  
  
  8.  ... 
    9. 
  
  
  
  9. } finally { 
    10. 
  
  
  
  10.  ... 
    11. 
  
  
  
    12.

當(dāng)然,數(shù)據(jù)源及配置現(xiàn)在都是 Spring 進(jìn)行管理了,這里只是介紹 JNDI 的一種用法。

說白了,JNDI 就是 Java 的一套規(guī)范,相當(dāng)于把某個(gè)資源進(jìn)行注冊,再根據(jù)資源名稱來查找定位資源。

要使用 JNDI,必須要有一個(gè) JDNI 類,以及 1 個(gè)或者多個(gè)服務(wù)提供者(SPI),比如,在 JDK 中就包含以下幾個(gè)服務(wù)提供者:

  • 輕量級目錄訪問協(xié)議 (LDAP)
  • 通用對象請求代理體系結(jié)構(gòu) (CORBA)
  • 通用對象服務(wù)命名服務(wù) (COS)
  • Java 遠(yuǎn)程方法調(diào)用 (RMI)
  • 域名服務(wù) (DNS)

這里的 LDAP 協(xié)議正是頻頻爆漏洞的根源,攻擊者屢試不爽。

Log4j2 漏洞回顧

網(wǎng)上很多復(fù)現(xiàn)的示例,為了不造成更大影響,這里就不實(shí)戰(zhàn)演示了,示例代碼如下:

 
 
 
    
  
  
  
  1. /** 
    2. 
  
  
  
  2.  * 作者:棧長 
    3. 
  
  
  
  3.  * 來源公眾號:Java技術(shù)棧 
    4. 
  
  
  
  4.  */ 
    5. 
  
  
  
  5. public class Test { 
    6. 
  
  
  
  6.  
    7. 
  
  
  
  7.     public static final Logger logger = LogManager.getLogger(); 
    8. 
  
  
  
  8.      
    9. 
  
  
  
  9.     public static void main(String[] args) { 
    10. 
  
  
  
  10.         logger.info("${jndi:ldap://localhost:8080/dangerious}"); 
    11. 
  
  
  
  11.     } 
    12. 
  
  
  
  12.      
    13. 
  
  
  
    14.

這就是 Log4j2 核彈級漏洞的主因!

LDAP 協(xié)議在上面有提到,它是一個(gè)開放的應(yīng)用協(xié)議,也是 JDK JNDI 下面的一個(gè)服務(wù)提供者,用于提供目錄信息訪問控制。

漏洞正是利用了 JDNI 中的 ldap 協(xié)議,以上代碼中的 localhost 如果是攻擊者的地址,就會造成遠(yuǎn)程代碼執(zhí)行漏洞,后果就不堪設(shè)想。。

這是因?yàn)?Log4j2 有一個(gè) Lookups 功能,它提供了一種向 Log4j 配置中添加值的方法,也就是通過一些方法、協(xié)議去讀取特定環(huán)境中的信息,Jndi Lookup 就是其中一種:

經(jīng)過一系列的版本修復(fù)再調(diào)整,從 Log4j v2.17.0 開始,JNDI 操作需要通過以下參數(shù)主動(dòng)開啟:

 
 
 
    
  
  
  
  1. log4j2.enableJndiLookup=true 
    2.

現(xiàn)在這種 jndi:ldap 協(xié)議查找方式也被 Log4j2 Lookups 干掉了,僅支持 java 協(xié)議或者沒有協(xié)議這種查找方式了。

Log4j2 漏洞的后續(xù)進(jìn)展,棧長也會持續(xù)跟進(jìn),關(guān)注公眾號Java技術(shù)棧,公眾號第一時(shí)間推送。

結(jié)語

Log4j2 Lookups 引發(fā)的漏洞真不少,這陣子一直在爆雷,這還真是個(gè)雞肋功能,有幾個(gè)人用到了?

當(dāng)然,這陣子的漏洞不全是因?yàn)?JNDI 造成的,JNDI 它只是提供了一套規(guī)范,用得不好總不能怪它吧?所以,我們也不能把責(zé)任全推到 JNDI 身上,Log4j2 Lookups 功能脫不了干系,既然提供了 Jndi Lookup 功能,但對其影響面考慮的太少了。。

一個(gè)日志框架,最主要的目的是記錄日志,雖然提供了許多其他豐富的功能,但如果沒有考慮到位,反而會引發(fā)嚴(yán)重后果,畢竟安全第一,但也沒辦法,用開源就得接受開源的利弊。

還有人說,自己開發(fā),這可能是氣話了。主流開源的有很多公司在用,爆漏洞還有大廠反饋,能第一時(shí)間感知,自己開發(fā)的,啥時(shí)候爆雷了,爆在哪了,怎么死的都不知道,能不能做好一款產(chǎn)品和持續(xù)維護(hù)還是另外一回事。

參考文檔:

https://docs.oracle.com/javase/jndi/tutorial/getStarted/overview/index.html

https://logging.apache.org/log4j/2.x/manual/lookups.html

本文轉(zhuǎn)載自微信公眾號「Java技術(shù)?!?,可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系Java技術(shù)棧公眾號。


當(dāng)前名稱:引爆全球的Log4j2核彈級漏洞,Jndi到底是個(gè)什么鬼?
網(wǎng)頁網(wǎng)址:http://m.5511xx.com/article/dpjeoog.html