共计 1656 个字符,预计需要花费 5 分钟才能阅读完成。
Log4j 2.x 再爆雷
最近满城风雨的 Log4j2 破绽门事件炒得热气腾腾,历经屡次版本升级。。。
最新的版本为 Log4j 2.16.0,很多人认为 Log4j 2.16.0 只是默认禁用 JNDI 性能和移除音讯的 Lookups 性能,只有本人不乱用升不升都无所谓,感觉这个版本不是必须的,认为只降级到 2.15.0 就高枕无忧了,非也!
栈长又看到了最新 Log4j 核弹级破绽动静:
对于 Log4j 2.x,当初强烈建议大家降级到 2.16.0!!!
因为,2.15.0 尽管解决了最重大的核弹级破绽,但 2.15.0 的修复不残缺,还存在容许攻击者执行 拒绝服务攻打(DoS)破绽,这个曾经在最新的 2.16.0 中进行修复了。
2.15.0 尽管修复了一个核弹级破绽,官网又新发现进去一个 DoS 攻打破绽,貌似是新改进去的。。还在用 2.15.0 的连忙降级吧,目前为止,2.16.0 才是最平安的版本!!
Java 7 对应的最新是 Log4j 2.12.2 版本。
如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。
受影响我的项目
如果你感觉只有 Apache Log4j 2.x 受影响,那就大错特错了,最近这两天,Apache 平安团队又颁布了最新受影响的 Apache 我的项目,栈长做了一翻梳理:
序号 | 受影响我的项目 | 解决版本 |
---|---|---|
1 | Apache Archiva | 2.2.6 |
2 | Apache Calcite Avatica | 1.20.0 |
3 | Apache Druid | 0.22.1 |
4 | Apache EventMesh | |
5 | Apache Flink | |
6 | Apache Fortress | 2.0.7 |
7 | Apache Geode | 1.12.6, 1.13.5, 1.14.1 |
8 | Apache Hive | |
9 | Apache Jena | 4.3.1 |
10 | Apache JMeter | |
11 | Apache JSPWiki | |
12 | Apache Log4J 2.x | 2.16.0 |
13 | Apache OFBiz | 18.12.03 |
14 | Apache Ozone | 1.2.1 |
15 | Apache SkyWalking | 8.9.1 |
16 | Apache Solr | 8.11.1 |
17 | Apache Struts | |
18 | Apache TrafficControl |
竟然有 18 个 Apache 我的项目受影响,大家伙看下,你们公司用了哪几个我的项目,连忙修复!
总结
栈长略微总结下:
1、Log4j 2.15.0 并不是最平安的最终版本,还存在 DoS 攻打破绽,倡议降级到 2.16.0;
2、Log4j 2.x 并不是特例,Apache 总共有 18 个我的项目中招,请自行查看修复;
果然是核弹级破绽,大大小小版本搞了好些个了。。
这次应该是最初一次的修复版本了,大家有没有被折腾过屡次的?
还在 2.15.0 版本的,大家伙再折腾一次吧。。。如果是内网我的项目,能够思考忽视!
如何下载、降级、修复,以及 Spring Boot 应答计划,可参考栈长之前分享的文章:
- 1214 最新!Log4j 再发版,彻底斩断核弹级破绽,又要熬夜了。。。
- 最新!Log4j 2.x 再发版,正式解决核弹级破绽,又要熬夜了。。。
- Apache Log4j 爆核弹级破绽,Spring Boot 默认日志框架就能完满躲过!!
- 突发!Apache Log4j2 报核弹级破绽。。连忙修复!!
如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。
好了,明天的分享就到这里了,前面栈长还会继续跟进,我也将支流 Java 面试题和参考答案都整顿好了,在公众号后盾回复关键字 “ 面试 ” 进行刷题。
版权申明: 本文系公众号 “Java 技术栈 ” 原创,原创实属不易,转载、援用本文内容请注明出处,剽窃者一律举报+投诉,并保留追究其法律责任的权力。
近期热文举荐:
1.1,000+ 道 Java 面试题及答案整顿(2021 最新版)
2. 劲爆!Java 协程要来了。。。
3. 最新!Log4j 2.x 再发版,正式解决核弹级破绽,又要熬夜了。。。
4.Spring Boot 2.6 正式公布,一大波新个性。。
5.《Java 开发手册(嵩山版)》最新公布,速速下载!
感觉不错,别忘了顺手点赞 + 转发哦!