【Kafka】log4j2漏洞不影响集群安全

最新推荐文章于 2024-08-11 21:14:52 发布
最新推荐文章于 2024-08-11 21:14:52 发布
阅读量475 收藏
点赞数
分类专栏: Kafka 文章标签: kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javawelcome/article/details/128136430
版权

1. 背景

最近发现不少文章提到log4j的远程代码执行漏洞会影响Kafka,在此向大家说明Kafka采用的版本是log4j 1.2.17且不受此事件影响

2. 详情

打开GitHub - apache/kafka默认主分支,直接查看gradle目录下的dependencies.gradle文件,搜索log4j就可以发现使用的是1.2.17版本而不是受影响版本log4j2.x版本。
image.png
特别说明Kafka3.2.0之后社区将会使用log4j2版本,主要原因是log4j开发团队在2012年5月发布log4j 1.2.17之后就已经停止更新1.x版本,但是Kafka至今依然在使用它。过时的log4j 1.x版本除了CVE-2019-17571(Kafka不受影响)等安全问题外,考虑到大部分用户已经熟悉log4j2(2.x)版本语法,对于1.x版本基本不在使用。如果需要自定义Kafka或Kafka的Connect的日志记录,用户不得不使用旧的配置格式,基于这些原因社区已经在升级使用log4j2,不过相信社区也不会采用受影响版本,具体查看KIP-653: Upgrade log4j to log4j2
image.png

3. 总结

虽然Kafka不会受此事件影响,但是Kafka客户端日志输出需要用户单独引用配置,所以大家还是注意一下是否使用受影响版本的log4j2.x进行日志打印

扬_帆_起_航
关注
专栏目录
【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞
2401_84407887的博客
04-20 1183
最值得注意的,在依赖升级中升级了 Log4j2:为了解决 Log4j2 近期发生的核弹级漏洞,Spring Boot 之前说新版本会升级到 Log4j v2.15.0,Log4j2 漏洞终极方案1、Spring Boot 项目大家如果在用 2.6.x 和 2.5.x 版本线的,只需要升级到最新的 2.6.2, 2.5.8 即可:2.6.2pom这两个版本都会升级到最新版本其他的 Spring Boot 2.4.x 及以下的版本线不受支持。
全网连夜修复的Log4j漏洞,如何做
2401_84047990的博客
04-19 1036
同时也并不是完全没有缺点,主要的问题就是可能带来一定的性能损耗。还有就是开发难度比较高,需要对 JVM 字节码、ASM 工具、漏洞触发原理以及各类Java 应用容器都有所了解。RASP技术目前已经非常成熟,在PHP、Java、.NET等多种语言中都有实现方案。
log4j2+kafka
04-26
NULL 博文链接:https://anhongyang125.iteye.com/blog/2360143
突发!Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目受影响
机器学习算法与Python学习
12-10 331
点击 机器学习算法与Python学习 ,选择加星标精彩内容不迷路本文来自InfoQ昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远...
漏洞复现-Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194)
最新发布
玄道的网安博客
08-11 363
版本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞。如果攻击者在连接的时候可以控制属性sasl.jaas.config的值为com.sun.security.auth.module.JndiLoginModule,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。方法,做完客户端的判断和安全协议的判断之后,调用了。判断 SASL 模式是否开启,开启了才会往下跟进到。方法,跟进,发现其中还是加载了一些配置。方法,最后 Jndi 注入。
Kafka+Log4j2日志
weixin_33788244的博客
10-28 555
默认你已经安装配置了Zookeeper和Kafka。 为了目录清晰,我的Kafka配置文件的Zookeeper部分是:加上了节点用来存放Kafka信息 启动Zookeeper,然后启动Kafka。 Zookeeper的节点树:根目录下有专门的Kafka存放节点【以前没有配这个,结果Kafka的一大堆东西全部跑到根节点上了,很乱】 接下来是代码部分了。 依赖包: Log...
log4j2 kafka 性能瓶颈问题
weixin_30362801的博客
09-11 529
log4j2- v2.6.1 配置自身kafka appender后会出现消息发送瓶颈,局域网内平均为1秒1000条,这个完全不满足当前的发送需求。 经排查发现 在每次调用发送后,会回调get meta信息造成性能瓶颈 解决办法,自定义appender,去掉send后的get方法。 转载于:https://www.cnblogs.com/isenhome/p/7505260.html...
Kafka反序列化RCE漏洞(CVE-2023-34040)
蚁景网安学院
11-03 707
Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录 (record) 指 Kafka 消息中的一条记录。这一个漏洞影响的组件其实是 Spring-Kafka,严格意义上来说并不算是 kafka漏洞,应该算是 Spring 的漏洞
log4jappender配置kafka使用的jar包
09-08
2. **Kafka生产者库**:Log4jAppender需要使用Kafka的生产者API来发送日志到Kafka集群。这通常指的是`kafka-clients.jar`。 3. **特定的Log4j-Kafka适配器**:为了使Log4j能够与Kafka进行通信,还需要一个中间件库...
Kafka集群同步工具-MirrorMaker2.0详解
kafka_zsxq的博客
12-17 7826
【背景】 最近发现不少文章提到log4j的远程代码执行漏洞影响Kafka,在此向大家说明Kafka采用的版本log4j 1.2.17且不受此事件影响。 【详情】 打开GitHub - apache/kafka: Mirror of Apache Kafka默认主分支,直接查看gradle目录下的dependencies.gradle文件 搜索log4j就可以发现使用的是1.2.17版本而不是受影响版本log4j2.x版本。 特别说明Kafka3.2.0之后社区将会使用log4j.
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_84302369的博客
05-01 1601
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。
log4j2-kafka:用于 Log4j2Kafka 附加程序
07-10
log4j2-kafka 用于 Log4j2Kafka 附加程序 ##Maven < dependency> < groupId>com.github.stuxuhai</ groupId> < artifactId>log4j2-kafka</ artifactId> < version>1.0</ version> </ dependency> ##用法 < Appenders> < Kafka xss=removed xss=removed> < Property xss=removed>127.0.0.1:9092</ Property> < Property xss=removed>kafka.
Log4j2安全漏洞
hezuchao的专栏
12-10 907
Log4j2版本2以上安全漏洞,受影响版本2.0 ≤ Apache Log4j <= 2.14.1
Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194) vulhub复现
qq_53003652的博客
07-14 1072
版本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞。Apache Kafka是一个开源分布式消息队列,Kafka clients是相对应的Java客户端。base64编码后为dG91Y2ggL3RtcC9sbV9oYWNrZXI=,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。可以看到lm_hacker文件被成功创建(hacker是测试过的)启动kali:192.168.126.128。发送数据包,回到靶机,进入漏洞目录下。
Log4J2远程代码执行漏洞复现(CVE-2021-44228)
box
04-18 8375
Log4J代码执行漏洞复现(CVE-2021-44228) 受影响版本log4j版本:2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 受影响的应用及组件:Apache Solr、Apache Struts2、Apache Flink、Apache Druid、spring-boot-strater-log4j2、ElasticSearch、Apache Flume、Dubbo、Redis、Logstash、Apache Kafka等 复现环境:java ver
漏洞预警|Apache Kafka 拒绝服务漏洞
LJQClqjc的博客
09-22 891
棱镜七彩安全预警
springboot集成kafka,log4j2,实现日志监听功能
wwwyangying的博客
05-28 1075
springboot集成kafka,log4j2,实现日志监听功能 下载安装zk和kafka 启动zk: 进入cmd,输入zkServer (zk需先设置系统变量) 3 启动kafka : 进入kafka安装目录,输入命令 : 4 创建springboot项目,加入kafka 依赖和log4j2 依赖。 <dependencies> <!--spring-boot-starter-web--> <dependency> <gro
【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)
OSCS开源安全社区
08-25 862
墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全
Log4j 爆“核弹级”漏洞,Flink、Kafka等多个项目受影响
keyan的岁月阁
12-12 224
Log4j 爆“核弹级”漏洞,Flink、Kafka等多个项目受影响 这两天,你熬夜应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。 据悉,Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。根据“微步在线研究响应中心”消息,可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、Apach
Kafka集群搭建:Zookeeper配置详解
本文将详细介绍如何搭建Kafka集群,其中关键步骤是先部署Zookeeper集群。Zookeeper在Kafka中扮演着分布式配置服务器的角色,确保集群的高可用性和一致性。以下是搭建过程中的重要配置和步骤: 1. **Zookeeper配置**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值