Apache Log4j Version 2.17.0 wurde offiziell veröffentlicht und behebt die dritte entdeckte Sicherheitslücke CVE-2021-45105.
Apache Log4j2-Versionen 2.0-alpha1 bis 2.16.0 verhindern nicht die unkontrollierte Rekursion selbstreferenzieller Suchvorgänge. Wenn die Protokollkonfiguration ein nicht standardmäßiges Musterlayout und eine nicht standardmäßige Kontextsuche verwendet (z. B. $${ctx:loginId}), kann ein Angreifer, der die MDC-Eingabedaten (Thread Context Map) kontrolliert, bösartige Eingabedaten erstellen, die rekursive Suchvorgänge enthalten, was zu Problemen führt ein StackOverflowError. Dadurch wird der Prozess beendet. Dies wird auch als DoS-Angriff bezeichnet. [Empfohlen: Apache-Nutzungsanleitung]
Ab Version 2.17.0 (für Java 8) wird nur die Suchzeichenfolge in der Konfiguration rekursiv erweitert, bei jeder anderen Verwendung wird nur die Suche auf oberster Ebene analysiert, nicht jede verschachtelte Suche.
In früheren Versionen konnte dieses Problem gemildert werden, indem sichergestellt wurde, dass Ihre Protokollierungskonfiguration Folgendes tat:
Verwenden Sie im PatternLayout der Protokollierungskonfiguration das Thread-Kontextzuordnungsmuster (%X, %mdc oder %MDC). Ersetzen Sie ${ctx:loginId} oder $${ctx:loginId} und andere Kontextsuchen.
Andernfalls entfernen Sie Verweise auf Kontextsuchen wie ${ctx:loginId} oder ${ctx:loginId} in der Konfiguration; sie stammen aus Quellen außerhalb der Anwendung, z. B. HTTP-Headern oder Benutzereingaben.
Zu den spezifischen Updates der Version 2.17.0 gehören:
Rekursion beim Ersetzen von Zeichenfolgen behoben. Fix LOG4J2-3230
Beschränken Sie JNDI nur auf das Java-Protokoll. Standardmäßig bleibt JNDI deaktiviert. Die JNDI-Aktivierungseigenschaften wurden von „log4j2.enableJndi“ in „log4j2.enableJndiLookup“, „log4j2.enableJndiJms“ und „log4j2.enableJndiContextSelector“ umbenannt. Fix LOG4J2-3242
JNDI ist nur auf das Java-Protokoll beschränkt. Standardmäßig bleibt JNDI deaktiviert. Die Eigenschaft „enable“ wurde in „log4j2.enableJndiJava“ umbenannt. Fix LOG4J2-3242
Deklarieren Sie log4j-api-java9 und log4j-core-java9 nicht als Abhängigkeiten, da dies zu Problemen mit dem Maven-Enforcer-Plugin führt. Korrigieren Sie LOG4J2-3241
PropertiesConfiguration.parseAppenderFilters NPE beim Parsen von Eigenschaftendateifiltern. Fix LOG4J2-3247
Die Log4j 1.2-Brücke von Syslog Appender verwendet standardmäßig Port 512 statt 514. Fix LOG4J2-3249
Log4j 1.2 Bridge API Hardcodes Syslog-Protokoll zu TCP. Beheben Sie LOG4J2-3237
Das obige ist der detaillierte Inhalt vonApache Log4j 2.17.0 wurde veröffentlicht! Sehen Sie, welches Problem gelöst wurde?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
