背景
著名的 Log4j2 漏洞,相信已经让很多程序员通宵了。除了升级、禁用 msgLookup,在这里提供另一种办法:使用 Skywalking 绕过漏洞方法。
漏洞代码
漏洞产生的原因,在于 Log4j2 允许 JNDI 任意连接服务器,在 org.apache.logging.log4j.core.lookup.JndiLookup#lookup
中,代码如下:
@Override
public String lookup(final LogEvent event, final String key) {
if (key == null) {
return null;
}
final String jndiName = convertJndiName(key);
try (final JndiManager jndiManager = JndiManager.getDefaultManager()) {
return Objects.toString(jndiManager.lookup(jndiName), null);
} catch (final NamingException e) {
LOGGER.warn(LOOKUP, "Error looking up JNDI resource [{}].", jndiName, e);
return null;
}
}
该代码只有在 log.info("{}", "${jndi:xxxx/xx}")
时会触发。
堵上漏洞
众所周知 Skywalking 可以对任意代码进代码,实现拦截、修改返回值。下面就针对该lookup
方法进行拦截。
1)添加代理
public class JndiLookupActivation extends ClassInstanceMethodsEnhancePluginDefine {
private static final String INTERCEPT_CLASS = "org.apache.skywalking.apm.toolkit.activation.log.log4j.v2.x.jndi.JndiLookupMethodInterceptor";
private static final String ENHANCE_CLASS = "org.apache.logging.log4j.core.lookup.JndiLookup";
private static final String ENHANCE_METHOD = "lookup";
@Override
public ConstructorInterceptPoint[] getConstructorsInterceptPoints() {
return new ConstructorInterceptPoint[0];
}
@Override
public InstanceMethodsInterceptPoint[] getInstanceMethodsInterceptPoints() {
return new InstanceMethodsInterceptPoint[] {
new InstanceMethodsInterceptPoint() {
@Override
public ElementMatcher<MethodDescription> getMethodsMatcher() {
return named(ENHANCE_METHOD);
}
@Override
public String getMethodsInterceptor() {
return INTERCEPT_CLASS;
}
@Override
public boolean isOverrideArgs() {
return true;
}
}
};
}
@Override
protected ClassMatch enhanceClass() {
return byName(ENHANCE_CLASS);
}
}
2)添加拦截器
public class JndiLookupMethodInterceptor implements InstanceMethodsAroundInterceptor {
@Override
public void beforeMethod(EnhancedInstance objInst, Method method, Object[] allArguments, Class<?>[] argumentsTypes,
MethodInterceptResult result) throws Throwable {
// 二话不说直接返回 null 就是了
result.defineReturnValue(null);
}
@Override
public Object afterMethod(EnhancedInstance objInst, Method method, Object[] allArguments, Class<?>[] argumentsTypes,
Object ret) throws Throwable {
return ret;
}
@Override
public void handleMethodException(EnhancedInstance objInst, Method method, Object[] allArguments,
Class<?>[] argumentsTypes, Throwable t) {
}
}
最后别忘了在 skywalking-plugin.def 中加上。
至此漏洞就被堵上了,绝对执行不到问题代码,并且不需要完全禁用 msgLookup 特性。
效果测试
开启 Skywalking 前:
log.info("{}", "${jndi:xxxx/sss}");
// 日志内容
2021-12-11 13:27:17,340 Log4j2-TF-1-AsyncLogger[AsyncContext@18b4aac2]-1 WARN Error looking up JNDI resource [java:comp/env/xxxx/sss]. javax.naming.NoInitialContextException: Need to specify class name in environment or system property, or as an applet parameter, or in an application resource file: java.naming.factory.initial
at javax.naming.spi.NamingManager.getInitialContext(NamingManager.java:673)
...
开启 Skywalking 后:
log.info("{}", "${jndi:xxxx/sss}");
// 日志内容
[INFO][2021-12-11 13:29:41.128][arthas-command-execute][xxx.log.LogService] ${jndi:xxxx/sss}
Problem Solved!
由于我司已经完全部署了 Skywalking,所以打包新的 Skywalking Agent 后,线上的服务只需要重启即可应用最新 Agent,不需要升级 log4j 库再发布部署,可以节省大量时间。
当然还是推荐升级 log4j 库来彻底解决问题,本文只是提供一种思路。Skywalking 不仅是分布式追踪工具,也可以用来热修复代码,减少重复工作。