为啥一个打日志的要去访问网络

2021-12-10 11:51:11 +08:00
 461da73c

看到大家热传的 log4j 打日志爆了严重漏洞,本人不写 java ,不太理解打日志能打出个什么名堂,要去访问网络? 烦请各位 JAVA 大佬解答一下小弟的疑惑。

6214 次点击
所在节点    程序员
31 条回复
Kasumi20
2021-12-10 12:08:23 +08:00
不清楚,只会 System.out.println 的路过。
aguesuka
2021-12-10 12:52:25 +08:00
作者想去访问 "java:comp/env/" 中的环境变量比如 "logging/context-name", 但是实际调用的 JNDI 相当于 Java 中的 eval
unco020511
2021-12-10 14:28:52 +08:00
java 的东西哪个不是复杂的一笔哈哈,打日志也能打出花来
hfc
2021-12-10 14:41:09 +08:00
类似 SQL 注入吧,出现了预期外的行为
xuanbg
2021-12-10 14:52:36 +08:00
目的是调用 JNDI 实现获取外部信息的功能,但没有充分考虑这个功能的安全性。

怎么说呢,调用 JNDI 这个需求是存在的,但不应该由日志组件或者其他第三方组件来实现。自己来调用 JNDI 是可控的,第三方实现了这个功能,就变得不可控了。
gadfly3173
2021-12-10 14:53:40 +08:00
访问网络是传入的不合法参数,也就是脚本执行的。这个漏洞本质是因为 log4j 不止日志能打进文件、console ,还可以调用各种本地服务打进各种地方,比如 ES 之类的,但是 log4j 又没有对恶意代码有什么防范,就像 SQL 注入一样被利用了。
461da73c
2021-12-10 16:16:34 +08:00
@gadfly3173 不是很理解,不搞骚操作怎么有机会注入执行,例如最简单的日志:System.out.println 。
ohwind
2021-12-10 17:01:40 +08:00
@461da73c out 是标准输出,有时候你不一定想写到 out 里,也可能想写到 err 里,或者数据库里,又或者其他机器上。
sujin190
2021-12-10 17:10:08 +08:00
没必要解释有没有需求这种问题,java 这些东西本来就有过度设计的问题,不需要解释,一个打日志组件做这种解析居然不是个可选功能,毫无疑问过度设计了,但重点是一直搞不懂干 java 的都有种盲目的把过度设计当系统牛逼的依据而完全不管自己的业务场景业务需求,真是不明所以
gadfly3173
2021-12-10 17:17:13 +08:00
@461da73c #7 因为就是搞了骚操作。。。github 上有个针对这玩意的 patch 就是干脆直接在 log4j2 试图走 JNDI 的时候直接抛异常
wanguorui123
2021-12-10 17:20:51 +08:00
@GetMapping("test")
public BaseResponse submit(@RequestParam("test")String test){
logger.error(test);//logger.error("${jndi:ldap:/ /127.0.0.1:13}")
}
4771314
2021-12-10 17:34:06 +08:00
打日志走网络也有的,通过 agent 将日志输出到统一的中心机器,进行日志的分析和处理
不过更多的还是日志打印到本地,配置代理采集本地的日志文件
zmxnv123
2021-12-10 17:42:41 +08:00
虽然我是写 Java 的,但我也不懂为啥要去访问网络,今天专门搜了下 JNDI ,心想不就是个统一配置,为什么这都要出个规范...。不说了,来个段子吧,
---------------------------------
作者:Damon DanceForMe
链接: https://www.zhihu.com/question/277243683/answer/393676961
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

这问题你应该去问企业级 Java 架构师。
就比如 print 一句 hello world 吧。
main 函数里 print 一下?太面向过程,太 low 了。
得封装一个类。叫 Printer. Printer 有个成员方法,叫 print 。
但是!光一个类太 low 了,以后要是有不同的实现怎么办?
所以得加一个接口。PrinterInterface 。
但是! interface 是没有实现的,还是要有默认实现才行。
所以得加个虚拟类,AbstractPrinter 实现 PrinterInterface ,然后 Printer 继承 AbstractPrinter 。
但是!你有了那么一套,该怎么创建实例呢?直接 new Printer()?太 low 了,那叫实现依赖。
肯定不行的,所以要搞一个工厂类,PrinterFactory ,PrinterFactory 用 PrinterInterface 返回实例,这样就隐藏了实现细节了。但是! PrinterFactory 本身也是实现类啊,太 low 了,所以得有 PrinterFactoryInterface, AbstractPrinterFactory. 而且在 PrinterFactory 里面该怎么写呢?直接 new Printer()? 太 low 了。还是实现依赖。
最后,你要把这一堆玩意在代码里组装起来,也太难看了,各种 new 实现类。太 low !好在我们有个高级玩意,叫依赖注入!把程序对象结构全写到配置文件里面。这一套当然是不能自己造轮子的。配置 Spring 吧。搞了那么多 lib ,靠命令行或者 IDE 的项目管理肯定不够啊,得有依赖管理。Maven 啊 Gradle 啊使劲上。最最后,要 print 的东西怎么传给程序呢?硬编码?命令行传参数?太 low !当然得写在 XML 里头。光是 XML 当然还不够企业级,再加上 DTD 验证吧。然后就涉及到了 XML 解析的问题了。代码里直接操起 parser 吗?太 low! 当然要写个 parser 的包装类,interface, abstract class, implementation class, factory class 再来一套。毕竟,不能依赖实现啊,以后我要是换 parser 了怎么办。所以最后是成品是一堆配置文件,一堆 jar ,compile 出来的程序 200MB 。IDE 得装上 300 个插件,打开项目硬盘响老半天吃掉 2GB 内存,然后一堆插件弹提示要求升级。哦对了,在这一切发生之前,还得画 UML 图呢。三年后项目完工了,部署到客户的服务器上一跑,立马崩溃,一地的 stack trace 。原来客户服务器上用的是 JDK 5 而新项目需要 JDK 6. 然后问客户你们不能升级吗,答案是不行,因为另外一个企业级开发组给做的企业级解决方案只支持 JDK 5 。接着客户把你们的架构师臭骂了一顿,你搞了那么多设计就没有想过可能会换 JDK 吗?——
gadfly3173
2021-12-10 17:52:16 +08:00
@zmxnv123 #13 虽然但是,最后一条 jdk 是可以多版本共存的,启动的时候指定一下用哪个就行了,不放心还可以用 docker (
litchinn
2021-12-10 17:55:59 +08:00
@gadfly3173 那这篇回答还能续上,docker 解决 jdk 的问题,k8s 解决 docker 的弹性伸缩问题🐶🐶🐶
gadfly3173
2021-12-10 17:58:33 +08:00
@litchinn #15 太草了 我是很粗暴的直接 pm2 管理所有要保持启动的服务(不用 supervisor 是因为我不喜欢),其实一般的 springboot 不配置的话,usedheap 也就 150MB 左右,不算很吃内存(
whyso
2021-12-10 18:03:02 +08:00
@zmxnv123 虽然我不会 Java ,但是。。。哈哈哈。。。
darkengine
2021-12-10 18:04:05 +08:00
@zmxnv123 我顺着你这个链接摸了半天鱼
Jooooooooo
2021-12-10 18:04:50 +08:00
这个灵魂发问看 hn 上也有人说

我估摸肯定是某个很小众的需求, 提出了来然后就实现了
gadfly3173
2021-12-10 18:05:06 +08:00
其实 java 里这些过度设计也不算很奇怪,比如一般一些 sdk 之类的里面会提供多种 http client 、json 解析器的实现,如果公司有要求必须要用阿里系的 fastjson ,或者不许用 okhttp ,必须用 spring 自带的 resttemplate 的话,想切换很容易,不需要的依赖 exclude 掉也不会影响体积

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821297

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX