当前位置: 首页 > 知识库问答 >
问题:

Apache Log4j安全漏洞-2.17.0 jar未将查找值加载到log4j2中。xml

阴高寒
2023-03-14

根据ApacheLog4J安全漏洞指南,我在应用程序中更新了2.17.0JAR。

未生成升级后日志文件。

Spring version : 5.3.13
Log4j version : 2.17.0
java : 1.8

请参阅下面给出的日志4J2。xml

<?xml version="1.0" encoding="UTF-8"?>
<Configuration monitorInterval="1">
    <Properties>
        
        <Property name="log-path">${appconfig:log_path}</Property>
        <Property name="log-name">${appconfig:filename}</Property>
        <Property name="archive-days">${appconfig:archive_days}</Property>
        <Property name="file-level">${appconfig:file_level}</Property>
        <Property name="console-level">${appconfig:console_level}</Property>
         
        
    </Properties>
    <Appenders>

        <Routing name="route-log">
            <Routes pattern="${ctx:routingLogFile}">
                
                <Route>
                    <RollingFile name="default-log" fileName="${log-path}/${log-name}.log"
                                 filePattern="${log-path}/${date:yyyy-MM}/${log-name}.%d{MM-dd-yyyy}-%i.log.gz" append="true">
                        <PatternLayout
                                pattern="%d{MM/dd/yyyy HH:mm:ss.SSS z} %X{machine-name} %X{app-name} [%t] %-5level %logger{36}:%-3L - %msg%n" />
                        <Policies>
                            <TimeBasedTriggeringPolicy />
                            <SizeBasedTriggeringPolicy size="150 MB"/>
                        </Policies>
                        <DefaultRolloverStrategy max="1000">
                            <Delete basePath="${log-path}/" maxDepth="2">
                                <IfFileName glob="/${log-name}*.log.gz" />
                                <IfLastModified age="${archive-days}" />
                            </Delete>
                        </DefaultRolloverStrategy>
                    </RollingFile >
                </Route>
        
            </Routes>
                
        </Routing>
        <Console name="STDOUT" target="SYSTEM_OUT">
            <PatternLayout pattern="%d{ISO8601} %-5level %30.30logger{1.}:%-3L - %m%n%throwable" />
        </Console>
    </Appenders>
    
    <Loggers>
        <Logger name="org.springframework" level="ERROR"/>
         <Logger name="org.apache" level="ERROR"/>
        <Root level="${file-level}" additivity="false">
            <AppenderRef ref="route-log" />
            <AppenderRef ref="STDOUT" />
        </Root>
    </Loggers>
    
</Configuration>

我使用下面给出的查找,以便从表中获取日志文件名、日志文件路径、日志级别、存档天数。

import org.apache.logging.log4j.core.LogEvent;
import org.apache.logging.log4j.core.config.plugins.Plugin;
import org.apache.logging.log4j.core.lookup.AbstractLookup;
import org.apache.logging.log4j.core.lookup.StrLookup;
import org.appconfig.properties.ApplicationProperties;
import org.springframework.util.StringUtils;

@Plugin(name = "appconfig", category = StrLookup.CATEGORY)
public class AppLog4JConfigDatabaseLookup extends AbstractLookup {

    public String lookup(final LogEvent event, final String key) {
        
        
        if (key.equalsIgnoreCase("filename")) {
            return ApplicationProperties.getLogFilename();
        }
        if (key.equalsIgnoreCase("log_path")) {
            return ApplicationProperties.getLogPath();
        }
        if (key.equalsIgnoreCase("file_level")) {
            return ApplicationProperties.getFileLogLevel();
        }
        if (key.equalsIgnoreCase("console_level")) {
            return ApplicationProperties.getConsoleLogLevel();
        }
        if (key.equalsIgnoreCase("app_name")) {
            return ApplicationProperties.getAppName();
        }
        if (key.equalsIgnoreCase("archive_days")) {
            return ApplicationProperties.getLogArchiveDays();
        }
        
        return key;
    }
}

请参考下面给出的服务类别。

public class LoaderJob extends SchedulerAdapterJob {
    @Autowired
    private FileLoaderJob fileLoaderJob;
    
    private static final Logger LOGGER = LogManager.getLogger(LoaderJob.class);
    @Override
    public void executeJob(JobExecutionContext jobExecutionContext) {
        ThreadContext.put("routingLogFile","LOADER_LOGS");
        try {
            fileLoaderJob.execute();        
            
        }
        catch (Exception e) {
            LOGGER.error("Exception in  "+getJobName()+" : "+ e.getMessage());
            throw e;
        }
        finally {
              ThreadContext.remove("routingLogFile");
        }       
        
    }

}

它在2.16.0中运行良好,在2.17.0中不起作用。任何解决方案都将不胜感激。

共有1个答案

仲孙超
2023-03-14

根据Apache指南,您应该在模式中添加两个$routes。但是在你的log4j2中。xml只包含一个

请参考以下链接:https://logging.apache.org/log4j/log4j-2.2/faq.html

 类似资料:
  • WSO2IS 5.8包括Log4j 1.2。17 已针对Log4j 1识别出一个安全漏洞CVE-2019-17571。Log4j包括一个SocketServer,它接受序列化的日志事件并反序列化它们,而不验证是否允许对象。这可以提供可以被导出的攻击向量。 有人知道是否可以在WSO2IS 5.8的上下文中利用此漏洞? 提前谢谢!

  • 典型的安全漏洞 Web 典型的安全漏洞种类很多,如 XSS, CSRF, SQL注入,Cross IFrame Trick, clickJacking, 文件上传 等等。下面列举两种客户端常见的安全漏洞。 XSS XSS (Cross Site Scripting),跨站脚本攻击。为了和层叠样式表(Cascading Style Sheets,CSS)区分开,跨站脚本在安全领域叫做 XSS。攻击者

  • Fortify安全审查告诉我们一些路径操作漏洞。大多数都是显而易见的简单解决方案,但我不明白如何解决以下问题。 "wsdlPath"是从文本框中输入的。这是无法解决的问题吗?我可以验证路径是否存在,等等,但是这对漏洞有什么帮助呢?

  • 常见的安全漏洞 在构建 PWA 站点的过程中,我们会面临很多的安全风险和漏洞,如 XSS,CSRF,SQL 注入漏洞,ClickJacking,文件上传漏洞 等等。在本小节中,我们列举几种客户端常见的安全漏洞,了解一下其原理和防范方法。 跨站脚本(XSS) XSS (Cross Site Scripting) 即跨站脚本攻击。为了和层叠样式表(Cascading Style Sheets,CSS)

  • 我们使用spring boot 2.1.5和starter parent作为pom依赖项。 Spring启动使用默认的日志回馈进行日志记录,我们尚未显式切换到Log4j2或更改任何配置。下面是我们的项目依赖关系树。 我们的项目中有很多lombok@log4j2注释。但是,我们在依赖关系树中发现我们没有任何log4j2-core jar依赖项(发现它容易受到最近log4j问题的影响)。 lombok

  • 我有网站运行在node.js&express服务器上。我了解到该网站存在以下漏洞。 远程攻击者可以发送巧尽心思构建的HTTP请求,并强制其针对某些流量边缘模式对错误连接进行日志记录语句。这会导致并发使用内存池进行单独的连接,并引发影响。 利用HTTP报头的间隔会在服务器进程中造成溢出,从而覆盖堆栈的一部分,通过覆盖下一个操作的字节来倒回请求处理。 一旦对暴露的endpoint进行相应的精心编制;环