乐趣区

关于java:Log4j-2170-再曝漏洞但不要惊慌

最新消息!依据 Log4j 官网公布,2.17.0 版本还存在破绽!

上图来自 Log4j2 官网:https://logging.apache.org/log4j/2.x/

破绽编号:CVE-2021-44832

破绽内容:Log4j2 提供的 JDBCAppender 性能,将日志信息写入数据库中,这个过程须要 JNDI 的反对,故攻击者能够利用此来执行任意代码。

危害等级:

影响范畴:2.17.0 及以下版本(不蕴含 2.12.4、2.3.2)

修复措施:降级 Log4j2 的版本

  • Java 8 或之后用户降级到最新的 2.17.1
  • Java 7 用户降级到 2.12.4
  • Java 6 用户降级到 2.3.2

这个破绽跟之前曝出的 Logback 破绽相似,因为存在刻薄的利用条件,所以危害并不是很大。兴许前面你马上会看到很多来自营销号危言耸天的题目,心愿你能够 沉着对待,不用慌乱

欢送关注我的公众号:程序猿 DD。第一工夫理解前沿行业音讯、分享深度技术干货、获取优质学习资源

退出移动版