关于java:1214-最新Log4j-再发版彻底斩断核弹级漏洞又要熬夜了

36次阅读

共计 1332 个字符,预计需要花费 4 分钟才能阅读完成。

背景

这几天为了应答《突发!Apache Log4j2 报核弹级破绽。。连忙修复!!》,Log4j2 间断公布了两个 RC(Release Candidate)候选版本,1 个正式版本。

在第一次的 RC1 候选版本中,Log4j2 还存在破绽绕过危险,官网随后又公布了 RC2,前面就公布了 Log4j 2.15.0 正式版本,可用于生产环境,正式解决了核弹极破绽。

明天栈长关上公众号 Java 技术栈,又有粉丝留言说,2.16.0 公布了!!

栈长返回一看:

我天!Log4j 又在搞什么鬼?这又发了 3 个版本??

2 个候选版本,1 个正式版本:2.16.0

是的,又一个正式版本 Log4j 2.16.0 公布了,可用于生产环境。。

上面来看下 2.15.0 – 2.16.0 两个版本都修复了啥内容。

解决破绽:CVE-2021-44228

破绽起因:

Log4j2 中提供了 Lookups 机制,用于增加一些非凡值到日志中,在 Lookups 机制中,因为 JNDI 性能没有对名称解析做限度,而某些协定是不平安的,能够容许近程代码执行,从而导致核弹级破绽。

2.15.0 修复内容:

1、Log4j 2.15.0+ 当初默认将协定限度为仅 java、ldap 和 ldaps,并将 ldap 协定做拜访限度了,默认仅容许拜访本地服务器上的 Java 原始对象。

2、Log4j 2.15.0+ 当初 默认禁用 Lookups 性能,尽管 Log4j 2.x 没有齐全破除这项性能,但强烈建议大家不要启用它。

2.16.0 修复内容:

1、默认禁用 JNDI 性能。

2、移除音讯的 Lookups 性能。

总结

2.15.0 只是对危险性能做了限度和默认禁用,2.16.0 就狠了,罗唆间接干掉了。

2.16.0 这次更新也是很有必要的,间接赶尽杀绝,将未知危险扼杀在摇篮里,这也是为了避免用户不小心开启,因为破绽过来,大家就会疏于防范,在不留神的状况下又会造成破绽。

果然是核弹级破绽,大大小小版本搞了好些个了。。这次应该是最初一次的修复版本了吧?大家有没有被折腾过屡次的?所以,如果有必要,你可能还要再折腾一次。。。

如何下载、降级、修复,以及 Spring Boot 应答计划,可参考栈长之前分享的文章:

  • 最新!Log4j 2.x 再发版,正式解决核弹级破绽,又要熬夜了。。。
  • Apache Log4j 爆核弹级破绽,Spring Boot 默认日志框架就能完满躲过!!
  • 突发!Apache Log4j2 报核弹级破绽。。连忙修复!!

如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。

好了,明天的分享就到这里了,前面栈长还会继续跟进,我也将支流 Java 面试题和参考答案都整顿好了,在公众号后盾回复关键字 “ 面试 ” 进行刷题。

版权申明: 本文系公众号 “Java 技术栈 ” 原创,原创实属不易,转载、援用本文内容请注明出处,剽窃者一律举报+投诉,并保留追究其法律责任的权力。

近期热文举荐:

1.1,000+ 道 Java 面试题及答案整顿(2021 最新版)

2. 劲爆!Java 协程要来了。。。

3. 最新!Log4j 2.x 再发版,正式解决核弹级破绽,又要熬夜了。。。

4.Spring Boot 2.6 正式公布,一大波新个性。。

5.《Java 开发手册(嵩山版)》最新公布,速速下载!

感觉不错,别忘了顺手点赞 + 转发哦!

正文完
 0