2.16.0 版本中的 Log4j2 漏洞

Posted 2023-02-18

【中文标题】2.16.0 版本中的 Log4j2 漏洞

【英文标题】：Log4j2 Vulnarability in version 2.16.0

【发布时间】：2022-01-19 18:08:54

【问题描述】：

我们的系统是基于微服务的系统。它有 120 多项服务。建议我们将微服务中的 log4j 版本升级到 2.16.0，以缓解最近的 log4j 漏洞。目前，我们的服务使用 2.11.2 版本。我们不能只使用-Dlog4j2.formatMsgNoLookups=true 来缓解这些漏洞吗？

【问题讨论】：

通常升级依赖版本比提升可能需要在任何地方配置的标志（几个配置、脚本等）更容易。此外，升级到 2.16.0 后，您甚至不会关心标志的值。 （注意，像这样的选择退出标志很糟糕。）

【参考方案1】：

查看Apache Log4j Security Vulnerabilities 页面，尤其是“Fixed in Log4j 2.12.2 and Log4j 2.16.0”标题下的说明。

它解释说，即使在最初修复 CVE-2021-44228 的 2.15.0 中，也可能存在您仍然遇到问题的情况，它有一个新 ID：CVE-2021-45046

请注意，先前涉及配置的缓解措施（例如将系统属性 log4j2.formatMsgNoLookups 设置为 true）不会缓解此特定漏洞。

为了保护自己免受新 CVE 的影响，请更新到 2.16.0。

【讨论】：

arstechnica.com/information-technology/2021/12/… 更严重的漏洞。 TL:DR 2.15.0 存在额外的潜在严重漏洞，reco 将尽快修补到 2.16.0。