Log4j 的安全盲点：TLS新漏洞可用于拦截敏感日志

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Apache软件基金会为广泛使用的日志记录库Log4j发布安全更新，修复了一个中危漏洞CVE-2025-68161，它可导致攻击者拦截传输中的敏感日志数据。

该漏洞影响Log4j的 "Socket Appender" 组件，其核心问题在于即使在管理员明确启用TLS主机名验证的情况下，该组件也会绕过验证流程，使验证功能失效。

该漏洞的根因在于Apache Log4j Core处理向远程服务器发送日志的安全连接方式。通常，客户端通过TLS连接服务器时需验证两个关键点：一是服务器拥有有效证书，二是该证书确实属于正在连接的主机名。然而，在2.0-beta9至2.25.2版本中，Socket Appender跳过了第二步验证。

安全公告提到，该软件"未执行对等证书的TLS主机名验证"，从而造成一个安全盲点。问题的关键在于，即便管理员已谨慎地将 “verifyHostName” 配置属性或“log4j2.sslVerifyHostName” 系统属性设置为 true，仍然会导致验证失败。该软件实质上忽略了检查"身份证"（证书与主机名匹配）的指令，仅凭受信任的颁发者签名就接受了连接。

该漏洞为经典的中间人攻击敞开了大门。如果攻击者能够将自己置于应用程序和日志服务器之间（例如，在受感染的Wi-Fi网络或被劫持的路由器上），那么就可以拦截或重定向日志流量。

成功实施攻击需要攻击者突破两个障碍：

1、拦截：能够重定向网络流量。

2、伪装：能够出示证书颁发机构颁发的有效服务器证书且受到受害者Java环境的信任。

一旦攻击成功，攻击者就能在应用程序不发出警报的情况下窃取日志，而这些日志通常包含调试信息、用户活动或系统错误。

该漏洞已在 Apache Log4j Core 2.25.3 版本中完全修复，建议用户立即升级。对于无法立即部署补丁的组织，管理员可将Socket Appender配置为使用 "私有或受限的信任根"，或者仅限特定日志服务器的证书（而非默认的全局受信任CA列表）访问受信任证书，以此大幅降低攻击者出示"有效的"伪造证书的风险。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

开源意味着不问责，我们准备好应对比 Log4Shell 更大的安全危机了吗？｜Log4j 一周年特别报道

奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2？

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

亚马逊的 Log4j 热补丁易受提权漏洞影响

微软：攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击

原文链接

https://securityonline.info/log4js-security-blind-spot-new-tls-flaw-lets-attackers-intercept-sensitive-logs-despite-encryption/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 "赞” 吧~