根据ApacheLog4J安全漏洞指南,我在应用程序中更新了2.17.0JAR。
未生成升级后日志文件。
Spring version : 5.3.13
Log4j version : 2.17.0
java : 1.8
请参阅下面给出的日志4J2。xml
<?xml version="1.0" encoding="UTF-8"?>
<Configuration monitorInterval="1">
<Properties>
<Property name="log-path">${appconfig:log_path}</Property>
<Property name="log-name">${appconfig:filename}</Property>
<Property name="archive-days">${appconfig:archive_days}</Property>
<Property name="file-level">${appconfig:file_level}</Property>
<Property name="console-level">${appconfig:console_level}</Property>
</Properties>
<Appenders>
<Routing name="route-log">
<Routes pattern="${ctx:routingLogFile}">
<Route>
<RollingFile name="default-log" fileName="${log-path}/${log-name}.log"
filePattern="${log-path}/${date:yyyy-MM}/${log-name}.%d{MM-dd-yyyy}-%i.log.gz" append="true">
<PatternLayout
pattern="%d{MM/dd/yyyy HH:mm:ss.SSS z} %X{machine-name} %X{app-name} [%t] %-5level %logger{36}:%-3L - %msg%n" />
<Policies>
<TimeBasedTriggeringPolicy />
<SizeBasedTriggeringPolicy size="150 MB"/>
</Policies>
<DefaultRolloverStrategy max="1000">
<Delete basePath="${log-path}/" maxDepth="2">
<IfFileName glob="/${log-name}*.log.gz" />
<IfLastModified age="${archive-days}" />
</Delete>
</DefaultRolloverStrategy>
</RollingFile >
</Route>
</Routes>
</Routing>
<Console name="STDOUT" target="SYSTEM_OUT">
<PatternLayout pattern="%d{ISO8601} %-5level %30.30logger{1.}:%-3L - %m%n%throwable" />
</Console>
</Appenders>
<Loggers>
<Logger name="org.springframework" level="ERROR"/>
<Logger name="org.apache" level="ERROR"/>
<Root level="${file-level}" additivity="false">
<AppenderRef ref="route-log" />
<AppenderRef ref="STDOUT" />
</Root>
</Loggers>
</Configuration>
我使用下面给出的查找,以便从表中获取日志文件名、日志文件路径、日志级别、存档天数。
import org.apache.logging.log4j.core.LogEvent;
import org.apache.logging.log4j.core.config.plugins.Plugin;
import org.apache.logging.log4j.core.lookup.AbstractLookup;
import org.apache.logging.log4j.core.lookup.StrLookup;
import org.appconfig.properties.ApplicationProperties;
import org.springframework.util.StringUtils;
@Plugin(name = "appconfig", category = StrLookup.CATEGORY)
public class AppLog4JConfigDatabaseLookup extends AbstractLookup {
public String lookup(final LogEvent event, final String key) {
if (key.equalsIgnoreCase("filename")) {
return ApplicationProperties.getLogFilename();
}
if (key.equalsIgnoreCase("log_path")) {
return ApplicationProperties.getLogPath();
}
if (key.equalsIgnoreCase("file_level")) {
return ApplicationProperties.getFileLogLevel();
}
if (key.equalsIgnoreCase("console_level")) {
return ApplicationProperties.getConsoleLogLevel();
}
if (key.equalsIgnoreCase("app_name")) {
return ApplicationProperties.getAppName();
}
if (key.equalsIgnoreCase("archive_days")) {
return ApplicationProperties.getLogArchiveDays();
}
return key;
}
}
请参考下面给出的服务类别。
public class LoaderJob extends SchedulerAdapterJob {
@Autowired
private FileLoaderJob fileLoaderJob;
private static final Logger LOGGER = LogManager.getLogger(LoaderJob.class);
@Override
public void executeJob(JobExecutionContext jobExecutionContext) {
ThreadContext.put("routingLogFile","LOADER_LOGS");
try {
fileLoaderJob.execute();
}
catch (Exception e) {
LOGGER.error("Exception in "+getJobName()+" : "+ e.getMessage());
throw e;
}
finally {
ThreadContext.remove("routingLogFile");
}
}
}
它在2.16.0中运行良好,在2.17.0中不起作用。任何解决方案都将不胜感激。
根据Apache指南,您应该在模式中添加两个$routes。但是在你的log4j2中。xml只包含一个
请参考以下链接:https://logging.apache.org/log4j/log4j-2.2/faq.html
WSO2IS 5.8包括Log4j 1.2。17 已针对Log4j 1识别出一个安全漏洞CVE-2019-17571。Log4j包括一个SocketServer,它接受序列化的日志事件并反序列化它们,而不验证是否允许对象。这可以提供可以被导出的攻击向量。 有人知道是否可以在WSO2IS 5.8的上下文中利用此漏洞? 提前谢谢!
典型的安全漏洞 Web 典型的安全漏洞种类很多,如 XSS, CSRF, SQL注入,Cross IFrame Trick, clickJacking, 文件上传 等等。下面列举两种客户端常见的安全漏洞。 XSS XSS (Cross Site Scripting),跨站脚本攻击。为了和层叠样式表(Cascading Style Sheets,CSS)区分开,跨站脚本在安全领域叫做 XSS。攻击者
Fortify安全审查告诉我们一些路径操作漏洞。大多数都是显而易见的简单解决方案,但我不明白如何解决以下问题。 "wsdlPath"是从文本框中输入的。这是无法解决的问题吗?我可以验证路径是否存在,等等,但是这对漏洞有什么帮助呢?
常见的安全漏洞 在构建 PWA 站点的过程中,我们会面临很多的安全风险和漏洞,如 XSS,CSRF,SQL 注入漏洞,ClickJacking,文件上传漏洞 等等。在本小节中,我们列举几种客户端常见的安全漏洞,了解一下其原理和防范方法。 跨站脚本(XSS) XSS (Cross Site Scripting) 即跨站脚本攻击。为了和层叠样式表(Cascading Style Sheets,CSS)
我们使用spring boot 2.1.5和starter parent作为pom依赖项。 Spring启动使用默认的日志回馈进行日志记录,我们尚未显式切换到Log4j2或更改任何配置。下面是我们的项目依赖关系树。 我们的项目中有很多lombok@log4j2注释。但是,我们在依赖关系树中发现我们没有任何log4j2-core jar依赖项(发现它容易受到最近log4j问题的影响)。 lombok
我有网站运行在node.js&express服务器上。我了解到该网站存在以下漏洞。 远程攻击者可以发送巧尽心思构建的HTTP请求,并强制其针对某些流量边缘模式对错误连接进行日志记录语句。这会导致并发使用内存池进行单独的连接,并引发影响。 利用HTTP报头的间隔会在服务器进程中造成溢出,从而覆盖堆栈的一部分,通过覆盖下一个操作的字节来倒回请求处理。 一旦对暴露的endpoint进行相应的精心编制;环