首頁 >運維 >Apache >Apache Log4j 2.17.0已發布!看看解決了什麼問題?

Apache Log4j 2.17.0已發布!看看解決了什麼問題?

藏色散人
藏色散人轉載
2021-12-20 11:09:543099瀏覽

Apache Log4j 2.17.0 版本已正式發布,解決了發現的第三個安全漏洞 CVE-2021-45105。

Apache Log4j2 版本 2.0-alpha1 到 2.16.0 沒有防止 self-referential 尋找的不受控制的遞歸。當日誌配置使用非預設的Pattern Layout 與Context Lookup(例如,$${ctx:loginId})時,控制線程上下文映射(MDC) 輸入資料的攻擊者可以製作包含遞歸查找的惡意輸入數據,導致StackOverflowError,從而終止進程。這也稱為 DoS 攻擊。 【推薦:Apache使用教學

從2.17.0 版本開始(針對Java 8),只有設定中的尋找字串才會被遞歸擴充;在任何其他用法中,僅解析頂層查找,不解析任何巢狀查找。

在先前的版本中,可以透過確保你的日誌記錄配置執行以下操作來緩解此問題:

  • ##在日誌記錄配置的PatternLayout 中,以Thread Context Map 模式(%X、%mdc 或%MDC)取代${ctx:loginId} 或$${ctx:loginId} 等Context Lookups。

  • 否則,在設定中刪除對${ctx:loginId} 或${ctx:loginId} 等Context Lookups 的參考;它們源自於應用程式外部的來源,例如HTTP headers或user input.。

2.17.0 版本的特定更新內容包括有:

  • 修復字串替換遞歸。修正 LOG4J2-3230

  • 將 JNDI 限制在 java 協定。預設情況下,JNDI 將保持停用狀態。將 JNDI 啟用屬性從「log4j2.enableJndi」重新命名為「log4j2.enableJndiLookup」、「log4j2.enableJndiJms」和「log4j2.enableJndiContextSelector」。修正 LOG4J2-3242

  • JNDI 僅限於 java 協定。預設情況下,JNDI 將保持停用狀態。啟用屬性已重新命名為“log4j2.enableJndiJava”。修正 LOG4J2-3242

  • 不要將 log4j-api-java9 和 log4j-core-java9 宣告為依賴項,因為這會導致 Maven enforcer 外掛程式出現問題。修正 LOG4J2-3241

  • 解析屬性檔案篩選器時的 PropertiesConfiguration.parseAppenderFilters NPE。修正 LOG4J2-3247

  • Syslog Appender 的 Log4j 1.2 bridge 預設為連接埠 512 而不是 514。修正 LOG4J2-3249

  • Log4j 1.2 bridge API 將 Syslog 協定硬編碼為 TCP。修正 LOG4J2-3237

以上是Apache Log4j 2.17.0已發布!看看解決了什麼問題?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:OSC开源社区。如有侵權,請聯絡admin@php.cn刪除