最近,Log4j2 的核彈級漏洞在技術圈進行了幾波轟炸,這期間,有不斷加班升級修復的,有直接禁用 Lookups 功能的,還有直接換日誌框架(Logback)的,好不熱鬧。。
說說,你們公司是哪一種呢?
棧長每次修復完以爲是可以歇歇了,結果沒想到每次都是史料未及,這次應該在 Log4j v2.17.0 這個版本塵埃落定了,Spring Boot 也最終發佈了漏洞解決版本:
即使 Log4j2 的漏洞已經告一段落,可 Log4j2 又發版了:
2021/12/22 最新發布,也就是棧長寫文時間。
這個 v2.12.3 和 v2.3.1 版本又是什麼鬼?不會又在修復漏洞吧!!
棧長又去官網驗證了下,如圖:
確實是還在修復漏洞,不過還是之前的漏洞:CVE-2021-45105:
| CVE-2021-45105 | 拒絕服務攻擊漏洞 |
|---|---|
| 安全等級 | 高 |
| 影響版本 | Log4j2 2.0-alpha1 到 2.16.0 |
該漏洞已在Java 8+ 版本的 Log4j v2.17.0 中得到解決,這次修復的是分別是 Java 7 和 Java 6 的,修復的是不同的 JDK 版本的包而已!
還好,還好,有驚無險,這次終於逃過一劫。。
總結一下:
如果把這次的版本更新也算進來,Log4j2 漏洞一共經歷了 15 天:
以 Java 8 漏洞爲例,一共歷經 3 個正式版本,5 個候選版本,共修復了 4 個漏洞:
- CVE-2021-45105(拒絕服務攻擊漏洞)
- CVE-2021-45046(遠程代碼執行漏洞)
- CVE-2021-44228(遠程代碼執行漏洞)
- 信息泄漏漏洞(安全公司 Praetorian 發現)
最新 JDK 版本對應的 Log4j2 版本如下:
| JDK 版本 | Log4j2 版本 |
|---|---|
| Java 8+ | v2.17.0 |
| Java 7 | v2.12.3 |
| Java 6 | v2.3.1 |
最終解決方案:
這次應該可以完美落幕了吧?再來就要殺瘋了。。
Log4j2 漏洞的後續進展,棧長也會持續跟進,關注公衆號Java技術棧,公衆號第一時間推送。
版權聲明!!!
本文系公衆號 "Java技術棧" 原創,轉載、引用本文內容請註明出處,抄襲、洗稿一律投訴侵權,後果自負,並保留追究其法律責任的權利。
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2021最新版)
4.Spring Boot 2.6 正式發佈,一大波新特性。。
覺得不錯,別忘了隨手點贊+轉發哦!