最近,Log4j2 的核弹级漏洞在技术圈进行了几波轰炸,这期间,有不断加班升级修复的,有直接禁用 Lookups 功能的,还有直接换日志框架(Logback)的,好不热闹。。

说说,你们公司是哪一种呢?

栈长每次修复完以为是可以歇歇了,结果没想到每次都是史料未及,这次应该在 Log4j v2.17.0 这个版本尘埃落定了,Spring Boot 也最终发布了漏洞解决版本:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

即使 Log4j2 的漏洞已经告一段落,可 Log4j2 又发版了:

2021/12/22 最新发布,也就是栈长写文时间。

这个 v2.12.3 和 v2.3.1 版本又是什么鬼?不会又在修复漏洞吧!!

栈长又去官网验证了下,如图:

确实是还在修复漏洞,不过还是之前的漏洞:CVE-2021-45105

| CVE-2021-45105 | 拒绝服务攻击漏洞 |
| 安全等级 | 高 |
| 影响版本 | Log4j2 2.0-alpha1 到 2.16.0 |

该漏洞已在Java 8+ 版本的 Log4j v2.17.0 中得到解决,这次修复的是分别是 Java 7 和 Java 6 的,修复的是不同的 JDK 版本的包而已!

还好,还好,有惊无险,这次终于逃过一劫。。

总结一下:

如果把这次的版本更新也算进来,Log4j2 漏洞一共经历了 15 天:

以 Java 8 漏洞为例,一共历经 3 个正式版本5 个候选版本,共修复了 4 个漏洞:

  • CVE-2021-45105(拒绝服务攻击漏洞)
  • CVE-2021-45046(远程代码执行漏洞)
  • CVE-2021-44228(远程代码执行漏洞)
  • 信息泄漏漏洞(安全公司 Praetorian 发现)

最新 JDK 版本对应的 Log4j2 版本如下:

| JDK 版本 | Log4j2 版本 |
| Java 8+ | v2.17.0 |
| Java 7 | v2.12.3 |
| Java 6 | v2.3.1 |

最终解决方案:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

这次应该可以完美落幕了吧?再来就要杀疯了。。

Log4j2 漏洞的后续进展,栈长也会持续跟进,关注公众号Java技术栈,公众号第一时间推送。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注