Log4j 2.3.1 发布!又是什么鬼??

Posted Java技术栈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Log4j 2.3.1 发布!又是什么鬼??相关的知识,希望对你有一定的参考价值。

点击关注公众号,Java干货及时送达

最近,Log4j2 的核弹级漏洞在技术圈进行了几波轰炸,这期间,有不断加班升级修复的,有直接禁用 Lookups 功能的,还有直接换日志框架(Logback)的,好不热闹。。

说说,你们公司是哪一种呢?

栈长每次修复完以为是可以歇歇了,结果没想到每次都是史料未及,这次应该在 Log4j v2.17.0 这个版本尘埃落定了,Spring Boot 也最终发布了漏洞解决版本:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!


即使 Log4j2 的漏洞已经告一段落,可 Log4j2 又发版了:

2021/12/22 最新发布,也就是栈长写文时间。

这个 v2.12.3 和 v2.3.1 版本又是什么鬼?不会又在修复漏洞吧!!

栈长又去官网验证了下,如图:

确实是还在修复漏洞,不过还是之前的漏洞:CVE-2021-45105

CVE-2021-45105拒绝服务攻击漏洞
安全等级
影响版本Log4j2 2.0-alpha1 到 2.16.0

该漏洞已在Java 8+ 版本的 Log4j  v2.17.0 中得到解决,这次修复的是分别是 Java 7 和 Java 6 的,修复的是不同的 JDK 版本的包而已!

还好,还好,有惊无险,这次终于逃过一劫。。


总结一下:

如果把这次的版本更新也算进来,Log4j2 漏洞一共经历了 15 天:

以 Java 8 漏洞为例,一共历经 3 个正式版本5 个候选版本,共修复了 4 个漏洞:

  • CVE-2021-45105(拒绝服务攻击漏洞)

  • CVE-2021-45046(远程代码执行漏洞)

  • CVE-2021-44228(远程代码执行漏洞)

  • 信息泄漏漏洞(安全公司 Praetorian 发现)

最新 JDK 版本对应的 Log4j2 版本如下:

JDK 版本Log4j2 版本
Java 8+v2.17.0
Java 7v2.12.3
Java 6v2.3.1

最终解决方案:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

这次应该可以完美落幕了吧?再来就要杀疯了。。

Log4j2 漏洞的后续进展,栈长也会持续跟进,关注公众号Java技术栈,公众号第一时间推送。

版权声明!!!

本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。

23 种设计模式实战(很全)

重磅官宣:Redis 对象映射框架来了!!

劲爆!Java 协程要来了。。。

JetBrains 发布下一代 IDE,IDEA 可以扔了

重磅!JDK 17 发布,正式免费。。

面试官:Java 8 map 和 flatMap 的区别?

终于!Spring Cloud 2021 正式发布。。

推荐一款代码神器,代码量至少省一半!

程序员精通各种技术体系,45岁求职难!

重磅!Spring Boot 2.6 正式发布

Spring Boot 学习笔记,这个太全了!

关注Java技术栈看更多干货

获取 Spring Boot 实战笔记!

以上是关于Log4j 2.3.1 发布!又是什么鬼??的主要内容,如果未能解决你的问题,请参考以下文章

Apache Log4j 漏洞影响有多大?

Apache Log4j 漏洞影响有多大?

团灭!Log4j 1.x 也爆雷了。。。速速弃用!!

Logback 也爆雷了,惊爆了。。。

Logback 也爆雷了,惊爆了。。。

换掉 Log4j2..tinylog 横空出世,无需定义 logger 变量,简单轻量性能爆炸。。