共计 1065 个字符,预计需要花费 3 分钟才能阅读完成。
最近,Log4j2 的核弹级破绽在技术圈进行了几波轰炸,这期间,有一直加班降级修复的,有间接禁用 Lookups 性能的,还有间接换日志框架(Logback)的,好不冷落。。
说说,你们公司是哪一种呢?
栈长每次修复完认为是能够歇歇了,后果没想到每次都是史料未及,这次应该在 Log4j v2.17.0 这个版本尘埃落定了,Spring Boot 也最终公布了破绽解决版本:
终于!Spring Boot 最新版公布,一招解决 Log4j2 核弹级破绽!
即便 Log4j2 的破绽曾经告一段落,可 Log4j2 又发版了:
2021/12/22 最新公布,也就是栈长写文工夫。
这个 v2.12.3 和 v2.3.1 版本又是什么鬼?不会又在修复破绽吧!!
栈长又去官网验证了下,如图:
的确是还在修复破绽,不过还是之前的破绽:CVE-2021-45105:
| CVE-2021-45105 | 拒绝服务攻打破绽 |
|---|---|
| 安全等级 | 高 |
| 影响版本 | Log4j2 2.0-alpha1 到 2.16.0 |
该破绽已在 Java 8+ 版本的 Log4j v2.17.0 中失去解决,这次修复的是别离是 Java 7 和 Java 6 的,修复的是不同的 JDK 版本的包而已!
还好,还好,有惊无险,这次终于逃过一劫。。
总结一下:
如果把这次的版本更新也算进来,Log4j2 破绽一共经验了 15 天:
以 Java 8 破绽为例,一共历经 3 个正式版本 ,5 个候选版本 ,共修复了 4 个破绽:
- CVE-2021-45105(拒绝服务攻打破绽)
- CVE-2021-45046(近程代码执行破绽)
- CVE-2021-44228(近程代码执行破绽)
- 信息透露破绽(平安公司 Praetorian 发现)
最新 JDK 版本对应的 Log4j2 版本如下:
| JDK 版本 | Log4j2 版本 |
|---|---|
| Java 8+ | v2.17.0 |
| Java 7 | v2.12.3 |
| Java 6 | v2.3.1 |
最终解决方案:
终于!Spring Boot 最新版公布,一招解决 Log4j2 核弹级破绽!
这次应该能够完满闭幕了吧?再来就要杀疯了。。
Log4j2 破绽的后续停顿,栈长也会继续跟进,关注公众号 Java 技术栈,公众号第一工夫推送。
版权申明!!!
本文系公众号 “Java 技术栈 ” 原创,转载、援用本文内容请注明出处, 剽窃、洗稿一律投诉侵权,后果自负 ,并保留追究其法律责任的权力。
近期热文举荐:
1.1,000+ 道 Java 面试题及答案整顿 (2021 最新版)
2. 劲爆!Java 协程要来了。。。
3. 玩大了!Log4j 2.x 再爆雷。。。
4.Spring Boot 2.6 正式公布,一大波新个性。。
5.《Java 开发手册(嵩山版)》最新公布,速速下载!
感觉不错,别忘了顺手点赞 + 转发哦!