最近,Log4j2 的核弹级漏洞在技术圈进行了几波轰炸,这期间,有不断加班升级修复的,有直接禁用 Lookups 功能的,还有直接换日志框架(Logback)的,好不热闹。。
说说,你们公司是哪一种呢?
栈长每次修复完以为是可以歇歇了,结果没想到每次都是史料未及,这次应该在 Log4j v2.17.0 这个版本尘埃落定了,Spring Boot 也最终发布了漏洞解决版本:
即使 Log4j2 的漏洞已经告一段落,可 Log4j2 又发版了:
2021/12/22 最新发布,也就是栈长写文时间。
这个 v2.12.3 和 v2.3.1 版本又是什么鬼?不会又在修复漏洞吧!!
栈长又去官网验证了下,如图:
确实是还在修复漏洞,不过还是之前的漏洞:CVE-2021-45105:
| CVE-2021-45105 | 拒绝服务攻击漏洞 |
|---|---|
| 安全等级 | 高 |
| 影响版本 | Log4j2 2.0-alpha1 到 2.16.0 |
该漏洞已在Java 8+ 版本的 Log4j v2.17.0 中得到解决,这次修复的是分别是 Java 7 和 Java 6 的,修复的是不同的 JDK 版本的包而已!
还好,还好,有惊无险,这次终于逃过一劫。。
总结一下:
如果把这次的版本更新也算进来,Log4j2 漏洞一共经历了 15 天:
以 Java 8 漏洞为例,一共历经 3 个正式版本,5 个候选版本,共修复了 4 个漏洞:
- CVE-2021-45105(拒绝服务攻击漏洞)
- CVE-2021-45046(远程代码执行漏洞)
- CVE-2021-44228(远程代码执行漏洞)
- 信息泄漏漏洞(安全公司 Praetorian 发现)
最新 JDK 版本对应的 Log4j2 版本如下:
| JDK 版本 | Log4j2 版本 |
|---|---|
| Java 8+ | v2.17.0 |
| Java 7 | v2.12.3 |
| Java 6 | v2.3.1 |
最终解决方案:
这次应该可以完美落幕了吧?再来就要杀疯了。。
Log4j2 漏洞的后续进展,栈长也会持续跟进,关注公众号Java技术栈,公众号第一时间推送。
版权声明!!!
本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。
近期热文推荐:
1.1,000+ 道 Java面试题及答案整理(2021最新版)
4.Spring Boot 2.6 正式发布,一大波新特性。。
觉得不错,别忘了随手点赞+转发哦!