2. 程式人生 > 其它 >KubeSphere 對 Apache Log4j 2 遠端程式碼執行最新漏洞的修復方案

KubeSphere 對 Apache Log4j 2 遠端程式碼執行最新漏洞的修復方案

阿新 發佈:2021-12-15

Apache Log4j 2 是一款開源的日誌記錄工具,被廣泛應用於各類框架中。近期,Apache Log4j 2 被爆出存在漏洞,漏洞現已公開,本文為 KubeSphere 使用者提供建議的修復方案。

此次漏洞是由於 Log4j 2 提供的 lookup 功能造成的,該功能允許開發者通過一些協議去讀取相應環境中的配置。但在實現的過程中,並未對輸入進行嚴格的判斷,從而造成漏洞的發生。由於大量的軟體都使用了 Log4j 2 外掛,所以大量的 Java 類產品均被波及,包括但不限於 Apache Solr、srping-boot-strater-log4j2、Apache Struts2、ElasticSearch、Dubbo、Redis、Logstash、Kafka...更多元件可以參考

Log4j 2 相關文件

受影響的 Log4j 版本為 Apache Log4j 2.x < 2.15.0-rc2。目前官方釋出了 Apache 2.15.0-rc2 版本對該漏洞進行了修復,但是該版本並非正式發行版,故存在不穩定的因素,如要升級建議對相關資料進行備份。

同時,也提供了三種方法對漏洞進行補救,為

  • 將系統環境變數 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設定為 true
  • 修改配置 log4j2.formatMsgNoLookups=True
  • 修改 JVM 引數 -Dlog4j2.formatMsgNoLookups=true

以下三種解決方法,您可以任選其中一種進行參考。

方法一:修改系統環境變數

由於 KubeSphere 預設使用了 ElasticSearch 收集日誌,所以也應該在 KubeSphere 修改相應的配置來對漏洞進行修復。以下說明如何在 KubeSphere 中進行相應的操作對 ElasticSearch 進行修復。

將系統環境變數 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設定為 True,為此,我們需要修改 ElasticSearch 的 Yaml 檔案,因為它是一個 StatefulSet 檔案,所以需要進行如下修改:

kubectl edit  statefulset  elasticsearch-logging-data -n kubesphere-logging-system
kubectl edit  statefulset  elasticsearch-logging-discovery  -n kubesphere-logging-system

在這兩個 Yaml 檔案中插入環境變數設定:

env:
- name: FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS
  value: "true"

方法二:修改 Log4j 2 配置

另外,您也可以修改配置 log4j2.formatMsgNoLookups=True,您可以執行如下命令:

kubectl edit configmaps elasticsearch-logging  -n kubesphere-logging-system

然後插入上面所提到的配置:

log4j2.properties: |-
    status=error
    appender.console.type=Console
    appender.console.name=console
    appender.console.layout.type=PatternLayout
    appender.console.layout.pattern=[%d{ISO8601}][%-5p][%-25c{1.}] %marker%m%n
    rootLogger.level=info
    rootLogger.appenderRef.console.ref=console
    logger.searchguard.name=com.floragunn
    logger.searchguard.level=info
    # 插入此行
    log4j2.formatMsgNoLookups=true

注意:

  1. 修改後請注意相關配置是否掛載進去,如果沒有掛載進去,請重啟 Pod。
  2. 如果您將 KubeSphere Logging 元件重新安裝,ks-installer 可能會導致該 ConfigMap 的配置被重置,需要再參考方法二手動配置一遍,或者採取方法一,設定系統環境變數 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 為 true

方法三:修改 ElasticSearch 的 JVM 引數

除了上述兩種方法,您還可以選擇在 KubeSphere 叢集中的 ElasticSearch 新增配置檔案,單獨配置 JVM 引數,詳見 ElasticSearch 公告宣告

相關參考

本文由部落格一文多發平臺 OpenWrite 釋出!

相關推薦

KubeSphere Apache Log4j 2 遠端程式碼執行最新漏洞修復方案

Apache Log4j 2 是一款開源的日誌記錄工具,被廣泛應用於各類框架中。近期,Apache Log4j 2 被爆出存在漏洞漏洞現已公開,本文為 KubeSphere 使用者提供建議的修復方案

Apache Log4j 2遠端程式碼執行漏洞

0x01漏洞描述 Apache Log4j是一個基於Java的日誌記錄工具,Log4j 2Log4j的升級產品。該元件存在Java JNDI注入漏洞,當程式將使用者輸入的資料進行日誌,即可觸發此漏洞,成功利用此漏洞可以在目標伺服器上執行任意

Apache Struts 2遠端程式碼執行漏洞復現

沒學會的SSH = Struts2 + Spring + Hibernate Apache Struts 2是一個基於MVC模式的Web應用框架,本質上相當於一個servlet。在MVC設計模式中,Struts 2作為控制器建立模型和檢視的資料互動。

Apache Struts 2遠端程式碼執行漏洞復現(第三彈)

Double Kill 0x00 漏洞概述 編號為CVE-2017-5638。 官方描述是: It is possible to perform a RCE attack with a malicious Content-Type value. If the Content-Type value isn\'t valid an exception is th

Apache Struts 2遠端程式碼執行漏洞復現(第二彈)

即S2-048 0x00 漏洞概述 編號為CVE-2017-9791。 官方描述是: It is possible to perform a RCE attack with a malicious field value when using the Struts 2 Struts 1 plugin and it\'s a Struts 1 action

[CVE-2012-0392] Apache Struts 2遠端程式碼執行漏洞復現(第五彈)

棄之可惜 0x00 漏洞概述 編號為CVE-2012-0392。 即S2-008,實際上是多個漏洞的集合。

嚴重危險級別!Apache Log4j 存在遠端程式碼執行漏洞,Java 日誌框架影響範圍極大

感謝網友 ZERO_A_ONE、aikn、我女兒她媽很萌、你還剩下59s 的線索投遞!

Apache Log4j 2.15.0 解決嚴重漏洞,官方迴應:為向後相容,沒移除舊功能導致

12 月 12 日訊息,近期一個 Apache Log4j 遠端程式碼執行漏洞細節被公開,攻擊者利用漏洞可以遠端執行程式碼。目前Apache Log4j 2.15.0 正式版已釋出,安全漏洞 CVE-2021-44228 已得到解決。根據Apache 軟體基金會L

Apache Log4j 遠端程式碼執行漏洞 springBoot修復 使用 log4j 2.15.0

將spring-boot-starter-log4j2 依賴更換為2.15.0 依賴 <!--<dependency>--> <!--<groupId>org.springframework.boot</groupId>-->

Apache Log4j 遠端程式碼執行漏洞

https://mp.weixin.qq.com/s/9f1cUsc1FPIhKkl1Xe1Qvw 2021年11月24日,阿里雲安全團隊向Apache官方報告了Apache Log4j2遠端程式碼執行漏洞

Apache Log4j 遠端程式碼執行漏洞原始碼級分析

漏洞的前因後果 漏洞描述 漏洞評級 影響版本 安全建議 本地復現漏洞 本地列印 JVM 基礎資訊

Apache Shiro反序列化遠端程式碼執行復現

最近也是看shiro漏洞比較多,所以自己也在本地復現了一下,拿出來與大家一起分享

Apache Struts 遠端程式碼執行漏洞(CVE-2016-3081)

漏洞簡介 漏洞描述 Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28, when Dynamic Method Invocation is enabled, allow remote attackers to execute arbitrary code

Apache Struts2 S2-013遠端程式碼執行漏洞復現

墨者學院開的靶場 進入環境 Struts2-013好傢伙,框架直接寫臉上,怕人看不出來= =

Apache Struts2遠端程式碼執行漏洞(S2-015)

Apache Struts2遠端程式碼執行漏洞(S2-015)介紹 Apache Struts 2是用於開發JavaEE Web應用程式的開源Web應用框架。Apache Struts 2.0.0至2.3.14.2版本中存在遠端命令執行漏洞遠端攻擊者可藉助帶有‘${}’和‘%{}’

Apache Log4j2 遠端程式碼執行漏洞

前言 漏洞描述 Apache Log4j2是一款優秀的Java日誌框架。2021年11月24日,阿里雲安全團隊向Apache官方報告了Apache Log4j2遠端程式碼執行漏洞。由於Apache Log4j2某些功能存在遞迴解析功能,攻擊者可直接構造惡意

Apache Log4j2 遠端程式碼執行漏洞-排查和修復建議

TAG Log4j2、JNDI、RCE 漏洞等級: 攻擊者利用此漏洞,可實現遠端程式碼執行。 版本:

Log4j 遠端程式碼執行

Log4j rce 復現 log4j遠端程式碼執行分析 由於log4j提供了JNDI表示式的解析功能,從Log.error()中傳入的poc會被log4j觸發並執行

Apache log4j2 遠端程式碼執行漏洞 (CVE-2021-44228)

漏洞詳情 漏洞名稱:Apache log4j2 遠端程式碼執行漏洞 (CVE-2021-44832) 漏洞標籤:存在EXP

漏洞通告】Apache Struts2遠端程式碼執行漏洞(CVE-2021-31805)

轉至:https://www.venustech.com.cn/new_type/aqtg/20220413/23713.html 0x00 漏洞概述 CVE   ID CVE-2021-31805