Log4j是一个广泛使用的Java日志框架,近期发现的Log4Shell漏洞(CVE-2021-44228)影响了大量使用Log4j的Java应用程序。虽然这个漏洞主要针对Java应用程序,但了解其原理和规避技巧对于任何使用日志记录的编程语言都是有益的。以下是一些建议:
composer require log4php/log4php:^1.2.17
<Configuration status="WARN">
<Appenders>
<Console name="Console" target="SYSTEM_OUT">
<PatternLayout pattern="%d{HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/>
</Console>
</Appenders>
<Loggers>
<Root level="info">
<AppenderRef ref="Console"/>
</Root>
</Loggers>
<Properties>
<Property name="log4j.ignoreJmx">true</Property>
</Properties>
</Configuration>
这将禁用JNDI查找功能,从而降低受到Log4Shell攻击的风险。
<Root level="error">
<AppenderRef ref="Console"/>
</Root>
<PatternLayout pattern="%d{HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/>
总之,要规避Log4j漏洞,关键是保持Log4j库的更新,禁用JNDI查找功能,限制日志级别和输出,使用自定义的日志格式,以及限制日志文件访问权限。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。