最新消息!依据 Log4j 官网公布,2.17.0 版本还存在破绽!
上图来自 Log4j2 官网:https://logging.apache.org/log4j/2.x/
破绽编号:CVE-2021-44832
破绽内容:Log4j2 提供的 JDBCAppender 性能,将日志信息写入数据库中,这个过程须要 JNDI 的反对,故攻击者能够利用此来执行任意代码。
危害等级:中
影响范畴:2.17.0 及以下版本(不蕴含 2.12.4、2.3.2)
修复措施:降级 Log4j2 的版本
- Java 8 或之后用户降级到最新的 2.17.1
- Java 7 用户降级到 2.12.4
- Java 6 用户降级到 2.3.2
这个破绽跟之前曝出的 Logback 破绽相似,因为存在刻薄的利用条件,所以危害并不是很大。兴许前面你马上会看到很多来自营销号危言耸天的题目,心愿你能够 沉着对待,不用慌乱…
欢送关注我的公众号:程序猿 DD。第一工夫理解前沿行业音讯、分享深度技术干货、获取优质学习资源