聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Apache软件基金会为广泛使用的日志记录库Log4j发布安全更新,修复了一个中危漏洞CVE-2025-68161,它可导致攻击者拦截传输中的敏感日志数据。
该漏洞影响Log4j的 "Socket Appender" 组件,其核心问题在于即使在管理员明确启用TLS主机名验证的情况下,该组件也会绕过验证流程,使验证功能失效。
该漏洞的根因在于Apache Log4j Core处理向远程服务器发送日志的安全连接方式。通常,客户端通过TLS连接服务器时需验证两个关键点:一是服务器拥有有效证书,二是该证书确实属于正在连接的主机名。然而,在2.0-beta9至2.25.2版本中,Socket Appender跳过了第二步验证。
安全公告提到,该软件"未执行对等证书的TLS主机名验证",从而造成一个安全盲点。问题的关键在于,即便管理员已谨慎地将 “verifyHostName” 配置属性或“log4j2.sslVerifyHostName” 系统属性设置为 true,仍然会导致验证失败。该软件实质上忽略了检查"身份证"(证书与主机名匹配)的指令,仅凭受信任的颁发者签名就接受了连接。
该漏洞为经典的中间人攻击敞开了大门。如果攻击者能够将自己置于应用程序和日志服务器之间(例如,在受感染的Wi-Fi网络或被劫持的路由器上),那么就可以拦截或重定向日志流量。
成功实施攻击需要攻击者突破两个障碍:
1、拦截:能够重定向网络流量。
2、伪装:能够出示证书颁发机构颁发的有效服务器证书且受到受害者Java环境的信任。
一旦攻击成功,攻击者就能在应用程序不发出警报的情况下窃取日志,而这些日志通常包含调试信息、用户活动或系统错误。
该漏洞已在 Apache Log4j Core 2.25.3 版本中完全修复,建议用户立即升级。对于无法立即部署补丁的组织,管理员可将Socket Appender配置为使用 "私有或受限的信任根",或者仅限特定日志服务器的证书(而非默认的全局受信任CA列表)访问受信任证书,以此大幅降低攻击者出示"有效的"伪造证书的风险。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
开源意味着不问责,我们准备好应对比 Log4Shell 更大的安全危机了吗?|Log4j 一周年特别报道
奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2?
美国国土安全部:Log4j 漏洞的影响将持续十年或更久
亚马逊的 Log4j 热补丁易受提权漏洞影响
微软:攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击
原文链接
https://securityonline.info/log4js-security-blind-spot-new-tls-flaw-lets-attackers-intercept-sensitive-logs-despite-encryption/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
