最新消息!依据Log4j官网公布,2.17.0版本还存在破绽!
上图来自Log4j2官网:https://logging.apache.org/log4j/2.x/
破绽编号:CVE-2021-44832
破绽内容:Log4j2提供的JDBCAppender性能,将日志信息写入数据库中,这个过程须要JNDI的反对,故攻击者能够利用此来执行任意代码。
危害等级:中
影响范畴:2.17.0及以下版本(不蕴含2.12.4、2.3.2)
修复措施:降级Log4j2的版本
- Java 8或之后用户降级到最新的2.17.1
- Java 7用户降级到2.12.4
- Java 6用户降级到2.3.2
这个破绽跟之前曝出的Logback破绽相似,因为存在刻薄的利用条件,所以危害并不是很大。兴许前面你马上会看到很多来自营销号危言耸天的题目,心愿你能够沉着对待,不用慌乱...
欢送关注我的公众号:程序猿DD。第一工夫理解前沿行业音讯、分享深度技术干货、获取优质学习资源