玩大了,Log4j 2.x 再爆雷。。。

Posted Java技术栈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了玩大了,Log4j 2.x 再爆雷。。。相关的知识,希望对你有一定的参考价值。

Log4j 2.x 再爆雷

最近沸沸扬扬的 Log4j2 漏洞门事件炒得热火朝天,历经多次版本升级。。。

最新的版本为 Log4j 2.16.0,很多人以为 Log4j 2.16.0 只是默认禁用 JNDI 功能和移除消息的 Lookups 功能,只要自己不乱用升不升都无所谓,觉得这个版本不是必须的,以为只升级到 2.15.0 就万事大吉了,非也!

栈长又看到了最新 Log4j 核弹级漏洞动态:

关于 Log4j 2.x,现在强烈建议大家升级到 2.16.0 !!!

因为,2.15.0 虽然解决了最严重的核弹级漏洞,但 2.15.0 的修复不完整,还存在允许攻击者执行拒绝服务攻击(DoS)漏洞,这个已经在最新的 2.16.0 中进行修复了。

2.15.0 虽然修复了一个核弹级漏洞,官方又新发现出来一个 DoS 攻击漏洞,貌似是新改出来的。。还在用 2.15.0 的赶紧升级吧,目前为止,2.16.0 才是最安全的版本!!

Java 7 对应的最新是 Log4j 2.12.2 版本。

如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。

受影响项目

如果你觉得只有 Apache Log4j 2.x 受影响,那就大错特错了,最近这两天,Apache 安全团队又公布了最新受影响的 Apache 项目,栈长做了一翻梳理:

序号受影响项目解决版本
1Apache Archiva2.2.6
2Apache Calcite Avatica1.20.0
3Apache Druid0.22.1
4Apache EventMesh
5Apache Flink
6Apache Fortress2.0.7
7Apache Geode1.12.6, 1.13.5, 1.14.1
8Apache Hive
9Apache Jena4.3.1
10Apache JMeter
11Apache JSPWiki
12Apache Log4J 2.x2.16.0
13Apache OFBiz18.12.03
14Apache Ozone1.2.1
15Apache SkyWalking8.9.1
16Apache Solr8.11.1
17Apache Struts
18Apache TrafficControl

居然有 18 个 Apache 项目受影响,大家伙看下,你们公司用了哪几个项目,赶紧修复!

总结

栈长稍微总结下:

1、Log4j 2.15.0 并不是最安全的最终版本,还存在 DoS 攻击漏洞,建议升级到 2.16.0

2、Log4j 2.x 并不是特例,Apache 总共有 18 个项目中招,请自行检查修复;

果然是核弹级漏洞,大大小小版本搞了好些个了。。

这次应该是最后一次的修复版本了,大家有没有被折腾过多次的?

还在 2.15.0 版本的,大家伙再折腾一次吧。。。如果是内网项目,可以考虑无视!

如何下载、升级、修复,以及 Spring Boot 应对方案,可参考栈长之前分享的文章:

如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。

好了,今天的分享就到这里了,后面栈长还会持续跟进,我也将主流 Java 面试题和参考答案都整理好了,在公众号后台回复关键字 “面试” 进行刷题。

版权声明: 本文系公众号 “Java技术栈” 原创,原创实属不易,转载、引用本文内容请注明出处,抄袭者一律举报+投诉,并保留追究其法律责任的权利。

以上是关于玩大了,Log4j 2.x 再爆雷。。。的主要内容,如果未能解决你的问题,请参考以下文章

玩大了,Log4j 2.x 再爆雷。。。

玩大了!Log4j 2.x 再爆雷。。。

玩大了!Log4j 2.x 再爆雷。。。

卧槽!Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。

卧槽!Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。

卧槽,Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。