背景
这几天为了应答《突发!Apache Log4j2 报核弹级破绽。。连忙修复!!》,Log4j2 间断公布了两个 RC(Release Candidate)候选版本,1 个正式版本。
在第一次的 RC1 候选版本中,Log4j2 还存在破绽绕过危险,官网随后又公布了 RC2,前面就公布了 Log4j 2.15.0 正式版本,可用于生产环境,正式解决了核弹极破绽。
明天栈长关上公众号 Java 技术栈,又有粉丝留言说,2.16.0 公布了!!
栈长返回一看:
我天!Log4j 又在搞什么鬼?这又发了 3 个版本??
2 个候选版本,1 个正式版本:2.16.0
是的,又一个正式版本 Log4j 2.16.0 公布了,可用于生产环境。。
上面来看下 2.15.0 – 2.16.0 两个版本都修复了啥内容。
解决破绽:CVE-2021-44228
破绽起因:
Log4j2 中提供了 Lookups 机制,用于增加一些非凡值到日志中,在 Lookups 机制中,因为 JNDI 性能没有对名称解析做限度,而某些协定是不平安的,能够容许近程代码执行,从而导致核弹级破绽。
2.15.0 修复内容:
1、Log4j 2.15.0+ 当初默认将协定限度为仅 java、ldap 和 ldaps,并将 ldap 协定做拜访限度了,默认仅容许拜访本地服务器上的 Java 原始对象。
2、Log4j 2.15.0+ 当初 默认禁用 Lookups 性能,尽管 Log4j 2.x 没有齐全破除这项性能,但强烈建议大家不要启用它。
2.16.0 修复内容:
1、默认禁用 JNDI 性能。
2、移除音讯的 Lookups 性能。
总结
2.15.0 只是对危险性能做了限度和默认禁用,2.16.0 就狠了,罗唆间接干掉了。
2.16.0 这次更新也是很有必要的,间接赶尽杀绝,将未知危险扼杀在摇篮里,这也是为了避免用户不小心开启,因为破绽过来,大家就会疏于防范,在不留神的状况下又会造成破绽。
果然是核弹级破绽,大大小小版本搞了好些个了。。这次应该是最初一次的修复版本了吧?大家有没有被折腾过屡次的?所以,如果有必要,你可能还要再折腾一次。。。
如何下载、降级、修复,以及 Spring Boot 应答计划,可参考栈长之前分享的文章:
- 最新!Log4j 2.x 再发版,正式解决核弹级破绽,又要熬夜了。。。
- Apache Log4j 爆核弹级破绽,Spring Boot 默认日志框架就能完满躲过!!
- 突发!Apache Log4j2 报核弹级破绽。。连忙修复!!
如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。
好了,明天的分享就到这里了,前面栈长还会继续跟进,我也将支流 Java 面试题和参考答案都整顿好了,在公众号后盾回复关键字 “ 面试 ” 进行刷题。
版权申明: 本文系公众号 “Java 技术栈 ” 原创,原创实属不易,转载、援用本文内容请注明出处,剽窃者一律举报+投诉,并保留追究其法律责任的权力。
近期热文举荐:
1.1,000+ 道 Java 面试题及答案整顿(2021 最新版)
2. 劲爆!Java 协程要来了。。。
3. 最新!Log4j 2.x 再发版,正式解决核弹级破绽,又要熬夜了。。。
4.Spring Boot 2.6 正式公布,一大波新个性。。
5.《Java 开发手册(嵩山版)》最新公布,速速下载!
感觉不错,别忘了顺手点赞 + 转发哦!