Log4J存在一个严重的安全漏洞,已经得到修复。但是我还没有找到一个易懂的解释来说明在一个日志框架中如何会存在安全漏洞。
看起来这似乎与“Lookups”有关。 https://logging.apache.org/log4j/2.x/manual/lookups.html
但这只是在配置文件中,而不是能够被注入的日志文件?
问题是:如何彻底关闭所有聪明的功能以防止任何未来的攻击?我只想要日志记录。
这似乎需要删除任何"$"符号,但这只是一个猜测。(还应该删除任何\n以避免日志文件欺骗。我总是写一个非常简单的包装器,以便能够执行此类操作。)
(我有一个非常简单的接口,所有的日志消息都通过它,所以很容易让我删除所有不在格式字符串中的"$"符号。)