Apache Log4j2漏洞_slf4j-log4j12漏洞版本

最新推荐文章于 2024-10-03 19:39:45 发布
最新推荐文章于 2024-10-03 19:39:45 发布
阅读量772 收藏 29
点赞数 16
文章标签: apache log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86638664/article/details/141894565
版权 
            <!-- log -->
            <dependency>
                <groupId>org.slf4j</groupId>
                <artifactId>slf4j-api</artifactId>
                <version>${slf4j.version}</version>
            </dependency>
            <dependency>
                <groupId>org.slf4j</groupId>
                <artifactId>slf4j-log4j12</artifactId>
                <version>${slf4j.version}</version>
            </dependency>

日志文件配置如下,

下面最后一行是使用logback的高级特性直接加在logback-spring-local.xml的配置文件,如果不区分本地环境、测试环境、生产环境配置则不需要指定,详细配置可参考链接4.

logging:
  # 日志输出格式
  pattern:
    # 文件日志输出格式:     时间格式       线程名称   日志级别  日志输出类  日志信息
    file: "%d{yyyy/MM/dd-HH:mm:ss} {%thread} %-5level %logger- %msg%n"
    console: "%d{yyyy/MM/dd-HH:mm:ss} {%thread} %-5level %logger- %msg%n"
  # 配置日志生成路径,下一日运行时会把前一日的日志文件打包成压缩包
  file:
    name: /Users/kaizhang/workspace/log/basic.log
  # 配置日志输出级别,error以上级别输出 ,默认输出日志级别:INFO(即包含INFO<WARING<ERROR)
  level:
    # 默认全局
    root: error
    # 在指定类下最低日志输出级别
    com.hust.zhang.web.controller.HomeController: debug
  # 加载指定目录下的日志输出配置文件
  # config: classpath:log/logback-spring-local.xml

CVE-2021-44228

官方解释:When the logging configuration uses a non-default Pattern Layout with a Context Lookup (for example, $${ctx:loginId}), attackers with control over Thread Context Map (MDC) input data can craft malicious input data using a JNDI Lookup pattern, resulting in an information leak and remote code execution in some environments and local code execution in all environments; remote code execution has been demonstrated on macOS but no other tested environments.

CVE(Common Vulnerabilities & Exposures)通用漏洞披露是一个字典表,记录着广泛认同的信息安全漏洞,上面相当于全球注册的唯一标识标记该漏洞。

LDAP

LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。

常见的应用场景是进行统一登录,参看:LDAP认证登录 - 应用身份服务 - 阿里云

JNDI

JNDI(Java Naming And Directory Interface,Java命名服务和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI,Serial Peripheral Interface)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。

JDBC连接数据库的弊端:

  1. 参数变动引发URL修改
  2. 数据库产品切换,驱动包修改(eg:mysql —> oracle)
  3. 连接池参数的调整

由于JDBC连接数据库存在一些弊端,所以可以通过JNDI来实现命名服务和目录服务的交互。

命名服务

命名服务用于根据名字找到位置、服务、信息、资源、对象。

  1. 发布服务bind
  2. 查找服务lookup

比如使用JDNI方式去建立数据库连接,在application.yaml文件中配置spring.datasource.jndi-name属性

spring:
  application:
    name: hust-zhang
  profiles:
    active: local
  datasource:
    jndi-name: jdbc/exampleDB

配置中加载的命名服务是在context.xml里配置的资源

<Context>
    <!-- apache-tomcat/config/context.xml -->
    <Resource name="jdbc/exampleDB"
              auth="Container"
              type="javax.sql.DataSource"
              username="root"
              password="123456"
              driverNameClass="com.mysql.jdbc.Driver"
              url="jdbc:mysql://localhost:3306/testdemo"
              maxTotal="8"
              maxIdle="4"/>
</Context>

JNDI提供的接口屏蔽了访问底层的一些细节,对于application.yaml文件来说配置始终不变,需要改的是目录服务中的context.xml配置。

JNDI动态协议转换

当我们调用lookup()方法时,如果lookup方法的参数像demo中那样是一个uri的地址,那么客户端就会去lookup()方法参数指定的uri中加载远程对象。

JNDI Naming Reference命名引用

当有客户端通过lookup(“refObj”)获取远程对象时,获取的是一个Reference存根(Stub),由于是Reference的存根,所以客户端会先在本地的classPath中去检查是否存在类refClassName,如果不存在则去指定的url动态加载。

JNDI注入

JNDI注入流程如下图所示,调用JNDI接口时传入恶意参数,访问目录服务获取Reference存根。然后访问LDAP目录服务中不存在的refClassName。从指定地址动态加载Exploit对象,Exploit对象的静态代码块可以执行打开计算器操作。RMI(Remote Method Invocation,远程方法调用)也可以通过这种方式实现攻击。

public class Exploit {
    static {
        try {
            // 适用于windows系统命令行打开计算器
2401_86638664
关注
slf4j-log4j12版本问题导致的NullPointerException
upupfeng的博客
08-21 2403
问题描述 项目中使用log4j将日志写入flume,用的是flume-ng-log4jappender包。 由于项目是Spark项目,要将项目打包后,在集群中spark-submit提交。集群中已经有了log4jslf4j、flume等相关包,所以相关依赖都没有打包进去,直接使用集群中的。 spark-submit后报如下错: Failed to instantiate SLF4J LoggerFactory Reported exception: java.lang.NullPointerExcept
slf4j-api、slf4j-log4j12log4j之间关系
m0_73533108的博客
09-16 2687
slf4j-api、slf4j-log4j12log4j之间关系
Apache Log4j2漏洞
四问四不知的博客
12-20 2404
序言 最近又爆出Apache Log4j2的大漏洞(CVE-2021-44228),很多使用了该框架的应用都受到了影响。影响范围极大,攻击者只需要向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器。 由于Log4j 是目前全球使用最广泛的Java日志框架之一。该漏洞还影响着很多开源组件,如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。因为该漏洞利用方式简单,一旦有攻击者利用该漏洞,就可以在目标服
Apache Log4j2程代码执行漏洞(CVE-2021-45105/CVE-2021-44228)且 pom.xml文件中是slf4j-log4j12依赖的漏洞修复
weixin_45222548的博客
07-24 910
CVE-2021-45105/CVE-2021-44228漏洞且 pom.xml文件中是slf4j-log4j12依赖的系统修复。
Log4j漏洞补救 Log4j2 + SLF4j 升级到最新版本
zhaofuqiangmycomm的博客
01-26 1万+
原创:Log4j2 + SLF4j打造日志系统 - 云+社区 - 腾讯云 2019-01-15阅读2.3K0 目录 一:前言 二:添加依赖 2.1:去除直接和间接依赖的log4j1和SLF4j 2.2:添加依赖 三:xml配置 3.1:log4j2.xml常用demo 3.2:demo的优点 3.3:内容详解 3.4:demo变形 3.4.1:同步打印日志 3.4.2:全部异步打印日志 3.4.3:混合模式打印日志 四:其他 4.1:Log日.
日志:log4jslf4j
殇之何伤的博客
12-15 321
log4j 通过它可以控制日志信息输送的目的地是控制台、文件等,它获取logger的方式是: static Logger logger = Logger.getLogger ( XXXXj.class.getName () ); log4j中有两个主要的类:NDC(Nested Diagnostic Context)和MDC(Mapped Diagnostic Context),它们用于存储...
2024年Apache Log4j2漏洞_slf4j-log4j12漏洞版本,Golang语言基础教程
2401_84910962的博客
05-13 713
JNDI(Java Naming And Directory Interface,Java命名服务和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI,Serial Peripheral Interface)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。由于Log4j 是目前全球使用最广泛的Java日志框架之一。
日志框架log4j升级至log4j2
热门推荐
沉淀、分享、成长,让自己和他人都能有所收获!
06-28 5万+
大家好,我是默语,擅长全栈开发、运维和人工智能技术。在这篇博客中,我将详细介绍如何将日志框架从Log4j升级到Log4j2,确保在项目中实现更高效、更安全的日志管理。关键词:Log4j2升级、日志框架、Java日志、SLF4JLog4j2配置。升级步骤具体操作删除Log4j核心包注释Log4j依赖,并排除第三方包引入的Log4j引入Log4j2SLF4J桥接包添加Log4j2核心包和SLF4JLog4j2的桥接包修改日志打印代码使用SLF4J的LoggerFactory进行日志打印。
slf4j-log4j12-1.7.7.jar下载
01-08
在实际应用中,你需要确保同时拥有SLF4J的API(slf4j-api-*.jar)和这个绑定器(slf4j-log4j12-1.7.7.jar)在你的类路径中,同时还需要Log4j1.2的核心库(log4j-*.jar)。如果你的应用程序中还包含了其他使用SLF4J的...
slf4j-log4j12-1.6.6.jar
01-18
SLF4J(Simple Logging Facade for Java)与Log4j12的集成包`slf4j-log4j12-1.6.6.jar`是Java开发中常用的日志处理工具,它允许开发者使用SLF4J的API,同时实现在运行时绑定到Log4j 1.2框架。这个版本的jar包包含了`...
log4j + slf4j-api + slf4j-log4j12
05-15
slf4j-log4j12-1.7.x版本SLF4J针对Log4j 1.2版本的绑定器,它使得应用可以使用SLF4J接口,但实际的日志输出通过Log4j进行。这个桥接器让项目能利用SLF4J的灵活性,同时使用Log4j的成熟实现。 在提供的文件名列表...
slf4j-log4j12-1.7.10-daas
09-26
标题"slf4j-log4j12-1.7.10-daas"表明这是一个针对DAAS(可能是“Data As A Service”或某种特定的服务)的SLF4JLog4j12的特定版本打包,版本号为1.7.10。DAAS可能是指在云端提供数据服务的相关应用,这个版本可能...
slf4j-log4j12-1.5.2.rar
08-29
标题"slf4j-log4j12-1.5.2.rar"表明这个压缩包包含的是SLF4JLog4j1.2版本1.5.2的适配器。SLF4J提供了多个绑定,其中slf4j-log4j12就是将SLF4J接口绑定到Log4j实现的一个模块,使得开发者可以通过SLF4J的API来使用...
Web 网站服务(二):深入探索 Apache 的高级功能
最新发布
卓琢
10-03 912
通过以上步骤,我们可以实现对 http 服务的访问控制和配置多种类型的虚拟主机,提高网站服务器的安全性和资源利用率。
Linux复习--Linux服务管理类(SSH服务、DHCP+FTP、DNS服务、Apache服务、Nginx服务、HTTP状态码)
小李学不完的博客
10-03 1408
SSH服务:SSH的登录验证方式-口令登录、密钥登录、登录设置。DHCP+FTP:租约四部曲、续租、租用失败。DNS服务、Apache配置:rewrite地址重写。Nginx服务、HTTP状态码分类。
Apache OFBiz SSRF漏洞CVE-2024-45507分析
INSBUG的博客
09-27 631
由于Apache OFBiz在从Groovy加载文件时未对用户提交的数据进行过滤,未经身份验证的恶意攻击者通过服务器端请求伪造的方式向任意系统发起请求,加载远程恶意xml执行任意代码,从而获取目标服务器的控制权限,具体来说,攻击者可以构造一个恶意的 XML 文件,并通过 SSRF 攻击让 Apache OFBiz 的服务器加载并执行这个文件中的 Groovy 脚本。接收的URL将被视作一个模型屏幕(modelScreen)并进行解析,参照可以根据代码中的示例来构建一个概念验证包含命令的XML文件。
(一)Web 网站服务之 Apache
卓琢
10-03 981
在当今数字化时代,Web 网站服务至关重要。本文将详细介绍 Apache 的作用、特点、安装过程以及配置 Apache 网站服务器的方法。
PHP安装后Apache无法运行的问题
Bingyeshinvwang的博客
10-01 600
php安装之后,修改httpd.conf无法运行Apache的解决方案
Windows安装启动apache httpd 2.4 web服务器
Zhang Phil
09-28 789
apache httpd主要用来处理静态网页内容以及如php。(1)在下载apache:(2)下载解压到一个目录,如果目录是这样的:找到 \httpd-2.4.62\Apache24\conf\httpd.conf 文件,修改server root地址为真实当前apache httpd安装目录:路径里面用反斜线。保存为xxx.bat即可。输入httpd -t输出:表明配置正常。(3)安装apache主服务。Apache24是自定义的名字,随意。
slf4j-log4j12 1.7.12 API文档中英双语版下载
资源摘要信息:"slf4j-log4j12-1.7.12-API文档-中英对照版.zip" 1. SLF4JLog4j12关系介绍: SLF4J(Simple Logging Facade for Java)是一个用于Java的简单日志门面,它为不同的日志系统提供了一个统一的接口,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值