log4j2漏洞解决方案:log4j2转换为logback

最新推荐文章于 2024-05-14 21:00:00 发布
最新推荐文章于 2024-05-14 21:00:00 发布
阅读量2.3k 收藏 7
点赞数 2
分类专栏: java工具 文章标签: maven log4j2 logback log4j flink
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011618288/article/details/122462309
版权

背景

Apache Log4j2是项目中常用的Java日志框架。在2021年11月,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。在Log4j 2.15.0-rc2 版本之后,问题解决。但是部分项目由于历史代码原因,直接使用的Log4j2依赖包的类,在升级log4j2版本时,代码出现冲突,在这种情况下,我们可以log4j2转换为logback,在log4j2依赖不变更的情况下,解决安全问题。

解决方案

log4j2转换为logback

可以通过log4j-to-slf4j工具,将log4j2转换为logback。log4j-to-slf4j 允许将编码到Log4j2 API的应用程序路由到SLF4J。使用这个适配器可能会导致一些性能损失,因为在将Log4j2消息传递给SLF4J之前,必须对它们进行格式化。

适用情况(同时满足以下场景):

  1. 无法进行log4j2升级
  2. 依赖log4j2的模块为子模块,或者是第三方依赖
  • maven依赖
    <dependencies>
        <dependency>
            <groupId>com.vhicool.test</groupId>
            <artifactId>common</artifactId>
            <version>1.0-SNAPSHOT</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>2.11.2</version>
        </dependency>
        <dependency>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-classic</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-core</artifactId>
            <version>1.2.3</version>
        </dependency>
    </dependencies>
  • 测试类
public class Main {
	public static void main(String[] args) {
       //LoggerUtil为com.vhicool.test:test-common包中的工具类
		LoggerUtil.info("${jndi:ldap://127.0.0.1:8080/Log4jRCE}");
	}
}

LoggerUtil.java

public class LoggerUtil {
	private static final Logger logger = LogManager.getLogger(LoggerUtil.class);

	public static void info(String msg){
        System.out.println(logger.getClass());
		logger.info(msg);
	}
}
  • 输出
Logger : class org.apache.logging.slf4j.SLF4JLogger
[main] INFO com.vhicoo.test.common.LoggerUtil - ${jndi:ldap://127.0.0.1:8080/Log4jRCE}
  • 结论
    从结果可以看出,经转换后,日志最终使用org.apache.logging.slf4j.SLF4JLogger输出。同时也没有触发日志注入的问题。

问题复现

当前模块:com.vhicool.test:test-common:1.0-SNAPSHOT

  • maven依赖
    log4f版本为2.0-2.15
    <properties>
        <log4j-version>2.8.2</log4j-version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>${log4j-version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>${log4j-version}</version>
        </dependency>
    </dependencies>
  • log4j配置文件
<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">
	<Appenders>
		<Console name="Console" target="SYSTEM_OUT" follow="true">
			<PatternLayout pattern="%-5p %-60c %x %X{orderId} - %m%n" />
		</Console>
	</Appenders>
	<Loggers>
		<Root level="info">
			<AppenderRef ref="Console" />
		</Root>
	</Loggers>
</Configuration>
  • 测试方法

日志输出时,实际会调用远程地址ldap://127.0.0.1:8080/Log4jRCE,本身这个地址端口不存在,因此会出现网络异常。

public class Main {
	private static final Logger logger = LogManager.getLogger(Main.class);
	public static void main(String[] args) {
        System.out.println("Logger : "+logger.getClass());
		logger.info("${jndi:ldap://127.0.0.1:8080/Log4jRCE}");
	}
}
  • 输出
Logger : class org.apache.logging.log4j.core.Logger

main WARN Error looking up JNDI resource [ldap://127.0.0.1:8080/Log4jRCE]. javax.naming.CommunicationException: 127.0.0.1:8080 [Root exception is java.net.ConnectException: Connection refused (Connection refused)]
	at com.sun.jndi.ldap.Connection.<init>(Connection.java:238)
	at com.sun.jndi.ldap.LdapClient.<init>(LdapClient.java:137)
	at com.sun.jndi.ldap.LdapClient.getInstance(LdapClient.java:1609)
	at com.sun.jndi.ldap.LdapCtx.connect(LdapCtx.java:2749)
	at com.sun.jndi.ldap.LdapCtx.<init>(LdapCtx.java:319)
...
  • 结论
    通过log4j2输出的日志,会解析${jndi:}中的变量为网络连接,并调用。其中打印日志类为:org.apache.logging.log4j.core.Logger

分析

为什么会导致日志jndi注入的问题

使用log4j2输出日志,如果日志输出串中,包含${}时,log4j会解析变量值的内部方法,内部方法的格式为$prefix:$key。默认支持的内部方法$prefix有:date, ctx, main, env, sys, sd, java, marker, jndi, jvmrunargs, bundle, map, log4j

  • 调用链:调用入口 org.apache.logging.log4j.core.Logger#logMessage
Logger PatternLayout Interpolator JndiLookup InitialContext 输出日志 将日志翻译成文本 获取字符串变量($prefix:$key)解析器 解析字符串变量值$key 查找JNDI资源的值 Logger PatternLayout Interpolator JndiLookup InitialContext

$prefix是jndi时,JndiLookup解析字符串变量$key为JNDI执行语义。例如$key=ldap://127.0.0.1:8080/Log4jRCE的JNDI解析流程如下:

InitialContext#look($key)首先根据$key对应的创建对象的工厂ObjectFactory,查找逻辑:
(1). 解析 k e y 获 取 key获取 keyschema:ldap
(2). 生成ObjectFactory类全限定名:com.sun.jndi.url.ldap.ldapURLContextFactory,生成格式如下:

    "com.sun.jndi.url."+$schema+"."+$schema+"URLContextFactory"
InitialContext ldapURLContextFactory ldapURLContext LdapCtx 生成ldapURLContext ldapURLContext lookup:获取当前命名空间对象 调用ldap服务,实现远程调用 InitialContext ldapURLContextFactory ldapURLContext LdapCtx
vhicool
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j,log4j2,logback 日志插件的使用例子
06-15
IDEA 导入 logs-examples 1. log4j 的XML配置使用 2. log4j2 的配置详解,JDBC 配置,CloseableThreadContext 的使用(自定义输出日志文件 例如 logback MDC) 3.logback 的XML配置与使用,MDC的使用,SiftingAppender,DBAppender(c3p0,druid) 详细查看代码:README.md 文件 和 注释说明
Logback 也爆雷了,惊爆了。。。
Java技术栈,分享最主流的Java技术
12-25 2601
Logback 也爆雷了 Log4j2 漏洞最新进展: Log4j 2.3.1 发布!又是什么鬼?? Log4j2 核弹级漏洞刚结束没几天,Logback 其实也爆雷了,这你能信?? 栈长在上篇文章提到,因 Log4j2 漏洞的反复无常,导致某些公司已经切换到 Logback 了,如果这也是你们公司的决定,请在文章下面评论区留言。 可令栈长万万想不到的是,在 Log4j2 漏洞修复期间,Logback 也出事了,我们来看官方的通告: 漏洞摘要 CVE-2021-42550 远程代码执行漏洞
springboot logback 日志注入安全问题 统一处理
最新发布
weixin_44670774的博客
05-14 597
springboot集成了logback的情况下,统一处理消息,避免日志注入的安全问题
log4j迁移到logback
热门推荐
chenminghe271的专栏
08-19 2万+
本帖最后由 陈明河 于 2014-8-19 15:20 编辑 考虑到logback日志组件性能比log4j好,所以项目开发过程中抛弃log4j改用logbacklog4j迁移到logback的步骤(只要三步): 第一  引入logback需要的jar包                                         ch.qos.lo
log4jlogback
qq_29984967的博客
06-05 298
&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;configuration scan="true" scanPeriod="60 seconds" debug="false"&gt; &lt;!--定义日志文件的存储地址 勿在 LogBack 的配置中使用相对路径--&gt; &lt;pr
如何将应用的log4j替换成logback详解
08-31
无论从设计上还是实现上,Logback相对log4j而言有了相对多的改进。所以下面这篇文章主要给大家介绍了关于如何将应用的log4j换成logback的相关资料,文中介绍的很详细,需要的朋友可以参考下。
log4j2换成logback
u011618288的博客
12-10 1283
log4j2 logback 日志转换
springboot整合日志(二)----------logback( log4j2调整为logback )
万米高空的博客
05-05 3788
springboot的日志框架别的博客上说的也比较多,很多都可用。但是我这里是有一些特殊的项目经历,值得一说。 原本项目中使用的log4j2,也就是上一篇 springboot整合日志(一)----------log4j2 中讲的。结果由于要部署到京东云上,他们的日志收集系统要求用logback的控制台输出日志。通过控制台就能收集到日志,并声称日志文件。所以我们的项目就要改造成logback的...
企业搜索引擎开发之连接器connector(二)
weixin_34095889的博客
01-27 188
applicationContext.xml配置文件 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;!DOCTYPE beans PUBLIC "-//SPRING//DTD BEAN//EN" "http://www.springframework.org/dtd/spring-beans.dtd"&gt; &lt;beans
Apache Log4j曝史诗级漏洞,Spring boot修复教程
chechengtao
12-13 6968
全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞,攻击者可以利用该漏洞远程执行恶意代码。据阿里云通报,由Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 该漏洞于12月7日由游戏平台Minecraft用户在网上曝光,据称黑客可以通过操作日志消息(甚至在聊天信息中键入内容),并且还可以在Minecraft服务器端执行恶意代码。Apache log4j官方在7日当天便发布2.15.0-rc1版本以修复漏洞,随后,阿里云、斗象
浅谈spring boot 集成 log4j 解决与logback冲突的问题
01-20
现在很流行springboot的开发,小编闲来无事也学了学,开发过程中遇见了log4j日志的一个小小问题,特此记载。 首先在pox.xml中引入对应的maven依赖: <!-- 引入log4j--> <groupId>org.springframework....
tomcat9 slf4j+log4j2 写日志.zip
12-27
然后,Log4j2是Apache Log4j项目的最新版本,它提供了一套高效、灵活的日志记录解决方案Log4j2相比Log4j 1.x有许多改进,包括性能提升、更丰富的配置选项、异步日志记录支持以及动态日志配置等。 在Tomcat 9中...
Springboot整合log4j2日志全解总结
08-26
为什么选择 Log4j2 Log4j2 相比于其他的日志系统,具有以下优点: * 丢数据的情况少 * 性能高于 Logback 等 10 倍以上 * 利用 JDK 1.5 并发的特性,减少了死锁的发生 整合 Log4j2 要将 Log4j2 整合到 Springboot...
去掉Log4j,如何转换logback
朱晓龙的博客
06-19 2764
这里写自定义目录标题修复漏洞,去掉Log4j,引入logback1 背景2 困难点3 组件介绍3.1 代码结构3.2 关键类说明3.2.1 ClassOfCallerConverter.java3.2.2 MethodOfCallerConverter.java3.2.3 LineOfCallerConverter.java3.2.4 LogbackConfigLoader.java3.2.5 AbstractLogbackInitListener.java3.2.6 DefaultLogbackInitL
记一次log4j漏洞修复与吐槽
weixin_44718708的博客
12-21 481
关于log4j漏洞修复与吐槽,然后为什么不使用logback呢?
SpringCloud项目的 log4j2漏洞解决
Aahg521626的博客
12-17 4210
Log4j2远程漏洞入侵解决方法
如何将Log4j彻底切换成logback
Cmainlove的专栏
12-29 3564
如何将Log4j彻底切换成logback? 之前有篇文章《彻底搞明白为什么日志框架依赖冲突了》介绍了同一项目中因为依赖了多个日志实现而导致的异常。log4jlogback都是日志实现,通常情况下,我们项目中都不会直接使用实现类,而是使用slf4j、jcl、log4j-api等日志facade。这样最大的好处就是,项目不会和某一日志框架绑定。 本篇将介绍如果把项目的日志框架切换成logback,切成其它的实现同理实现即可。 1、排除项目中所有的log4jlog4j-core相关的依赖。 这里推荐idea插
Spring Boot项目中使用Logback日志与使用AOP拦截请求日志信息
pikcacho_pkq的博客
10-31 1936
日志记录了系统行为的时间、地点等很多细节的具体信息,在发生错误或者接近某种危险状态时能够及时提醒开发人员处理,往往在系统产生问题时承担问题定位与诊断和解决的重要角色。一般很多线上的问题只能通过进行日志分析才可以解决的,所以需要明确日志在日常开发环节中是十分重要的。
spring boot极速修复log4j漏洞
小马的专栏
12-13 1688
周末的log4j漏洞像一个炸弹扔进了粪坑一样,把各种码畜炸的七零八落,一身臭味。漏洞原因想必大家都已经知道了,我的项目使用spring boot也不幸中招。 出现了2个带log4j名称的引用,即使我没有用过log4j,这是spring boot start logging自己引用的,根据我查询的资料,只是一个适配层的转换,我项目里实际使用的是slf4j,而且我也没有引用log4j-core这个包,理论上来说是不会有漏洞的。 但是永远伟大正确的甲方爸爸说了,我不管,我看见log4j就害怕,看见后边是2
Could not initialize Log4J2 logging from classpath:logback/logback-spring.xml的原因
05-16
这个错误通常是因为 Log4J2 没有找到配置文件 logback-spring.xml。可能的原因包括: 1. 配置文件路径不正确:请确保 logback-spring.xml 文件在 classpath 下的正确位置,例如在 src/main/resources 目录下。 2. 依赖包版本不匹配:Log4J2 需要与 logback-spring.xml 中所引用的依赖包版本匹配。请检查你的项目依赖,确保所有的依赖包版本正确。 3. 配置文件格式错误:请检查 logback-spring.xml 文件是否正确地配置了 Log4J2,特别是检查 XML 语法是否正确。 你可以根据这些提示逐一排除错误,找到具体的原因并解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值