关于java:玩大了Log4j-2x-再爆雷

47次阅读

共计 1656 个字符,预计需要花费 5 分钟才能阅读完成。

Log4j 2.x 再爆雷

最近满城风雨的 Log4j2 破绽门事件炒得热气腾腾,历经屡次版本升级。。。

最新的版本为 Log4j 2.16.0,很多人认为 Log4j 2.16.0 只是默认禁用 JNDI 性能和移除音讯的 Lookups 性能,只有本人不乱用升不升都无所谓,感觉这个版本不是必须的,认为只降级到 2.15.0 就高枕无忧了,非也!

栈长又看到了最新 Log4j 核弹级破绽动静:

对于 Log4j 2.x,当初强烈建议大家降级到 2.16.0!!!

因为,2.15.0 尽管解决了最重大的核弹级破绽,但 2.15.0 的修复不残缺,还存在容许攻击者执行 拒绝服务攻打(DoS)破绽,这个曾经在最新的 2.16.0 中进行修复了。

2.15.0 尽管修复了一个核弹级破绽,官网又新发现进去一个 DoS 攻打破绽,貌似是新改进去的。。还在用 2.15.0 的连忙降级吧,目前为止,2.16.0 才是最平安的版本!!

Java 7 对应的最新是 Log4j 2.12.2 版本。

如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。

受影响我的项目

如果你感觉只有 Apache Log4j 2.x 受影响,那就大错特错了,最近这两天,Apache 平安团队又颁布了最新受影响的 Apache 我的项目,栈长做了一翻梳理:

序号受影响我的项目解决版本
1Apache Archiva2.2.6
2Apache Calcite Avatica1.20.0
3Apache Druid0.22.1
4Apache EventMesh
5Apache Flink
6Apache Fortress2.0.7
7Apache Geode1.12.6, 1.13.5, 1.14.1
8Apache Hive
9Apache Jena4.3.1
10Apache JMeter
11Apache JSPWiki
12Apache Log4J 2.x2.16.0
13Apache OFBiz18.12.03
14Apache Ozone1.2.1
15Apache SkyWalking8.9.1
16Apache Solr8.11.1
17Apache Struts
18Apache TrafficControl

竟然有 18 个 Apache 我的项目受影响,大家伙看下,你们公司用了哪几个我的项目,连忙修复!

总结

栈长略微总结下:

1、Log4j 2.15.0 并不是最平安的最终版本,还存在 DoS 攻打破绽,倡议降级到 2.16.0;

2、Log4j 2.x 并不是特例,Apache 总共有 18 个我的项目中招,请自行查看修复;

果然是核弹级破绽,大大小小版本搞了好些个了。。

这次应该是最初一次的修复版本了,大家有没有被折腾过屡次的?

还在 2.15.0 版本的,大家伙再折腾一次吧。。。如果是内网我的项目,能够思考忽视!

如何下载、降级、修复,以及 Spring Boot 应答计划,可参考栈长之前分享的文章:

  • 1214 最新!Log4j 再发版,彻底斩断核弹级破绽,又要熬夜了。。。
  • 最新!Log4j 2.x 再发版,正式解决核弹级破绽,又要熬夜了。。。
  • Apache Log4j 爆核弹级破绽,Spring Boot 默认日志框架就能完满躲过!!
  • 突发!Apache Log4j2 报核弹级破绽。。连忙修复!!

如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。

好了,明天的分享就到这里了,前面栈长还会继续跟进,我也将支流 Java 面试题和参考答案都整顿好了,在公众号后盾回复关键字 “ 面试 ” 进行刷题。

版权申明: 本文系公众号 “Java 技术栈 ” 原创,原创实属不易,转载、援用本文内容请注明出处,剽窃者一律举报+投诉,并保留追究其法律责任的权力。

近期热文举荐:

1.1,000+ 道 Java 面试题及答案整顿(2021 最新版)

2. 劲爆!Java 协程要来了。。。

3. 最新!Log4j 2.x 再发版,正式解决核弹级破绽,又要熬夜了。。。

4.Spring Boot 2.6 正式公布,一大波新个性。。

5.《Java 开发手册(嵩山版)》最新公布,速速下载!

感觉不错,别忘了顺手点赞 + 转发哦!

正文完
 0