文章总结： ApacheLog4jCore存在中危漏洞CVE-2025-68161，影响2.0-beta9至2.25.2版本。SocketAppender组件即使开启了TLS主机名验证也会被绕过，导致中间人攻击风险。攻击者若能重定向流量并出示受信任CA签发的证书，即可拦截包含敏感信息的日志。官方已在2.25.3版本修复此问题，建议立即升级。若无法升级，应限制信任根或使用特定证书以降低风险。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,应用安全

Log4j 的安全盲点：TLS新漏洞可用于拦截敏感日志

Ddos

代码卫士

2025年12月23日 18:45 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Apache软件基金会为广泛使用的日志记录库Log4j发布安全更新，修复了一个中危漏洞CVE-2025-68161，它可导致攻击者拦截传输中的敏感日志数据。

该漏洞影响Log4j的 “Socket Appender” 组件，其核心问题在于即使在管理员明确启用TLS主机名验证的情况下，该组件也会绕过验证流程，使验证功能失效。

该漏洞的根因在于Apache Log4j Core处理向远程服务器发送日志的安全连接方式。通常，客户端通过TLS连接服务器时需验证两个关键点：一是服务器拥有有效证书，二是该证书确实属于正在连接的主机名。然而，在2.0-beta9至2.25.2版本中，Socket Appender跳过了第二步验证。

安全公告提到，该软件”未执行对等证书的TLS主机名验证”，从而造成一个安全盲点。问题的关键在于，即便管理员已谨慎地将 “verifyHostName” 配置属性或“log4j2.sslVerifyHostName” 系统属性设置为 true，仍然会导致验证失败。该软件实质上忽略了检查”身份证”（证书与主机名匹配）的指令，仅凭受信任的颁发者签名就接受了连接。

该漏洞为经典的中间人攻击敞开了大门。如果攻击者能够将自己置于应用程序和日志服务器之间（例如，在受感染的Wi-Fi网络或被劫持的路由器上），那么就可以拦截或重定向日志流量。

成功实施攻击需要攻击者突破两个障碍：

1、拦截：能够重定向网络流量。

2、伪装：能够出示证书颁发机构颁发的有效服务器证书且受到受害者Java环境的信任。

一旦攻击成功，攻击者就能在应用程序不发出警报的情况下窃取日志，而这些日志通常包含调试信息、用户活动或系统错误。

该漏洞已在 Apache Log4j Core 2.25.3 版本中完全修复，建议用户立即升级。对于无法立即部署补丁的组织，管理员可将Socket Appender配置为使用 “私有或受限的信任根”，或者仅限特定日志服务器的证书（而非默认的全局受信任CA列表）访问受信任证书，以此大幅降低攻击者出示”有效的”伪造证书的风险。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

开源意味着不问责，我们准备好应对比 Log4Shell 更大的安全危机了吗？｜Log4j 一周年特别报道

奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2？

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

亚马逊的 Log4j 热补丁易受提权漏洞影响

微软：攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击

原文链接

Log4j’s Security Blind Spot: New TLS Flaw Lets Attackers Intercept Sensitive Logs Despite Encryption

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos《Log4j 的安全盲点：TLS新漏洞可用于拦截敏感日志》