2.16.0 版本中的 Log4j2 漏洞
Posted
技术标签:
【中文标题】2.16.0 版本中的 Log4j2 漏洞【英文标题】:Log4j2 Vulnarability in version 2.16.0 【发布时间】:2022-01-19 18:08:54 【问题描述】:我们的系统是基于微服务的系统。它有 120 多项服务。建议我们将微服务中的 log4j 版本升级到 2.16.0,以缓解最近的 log4j 漏洞。目前,我们的服务使用 2.11.2 版本。我们不能只使用-Dlog4j2.formatMsgNoLookups=true
来缓解这些漏洞吗?
【问题讨论】:
通常升级依赖版本比提升可能需要在任何地方配置的标志(几个配置、脚本等)更容易。此外,升级到 2.16.0 后,您甚至不会关心标志的值。 (注意,像这样的选择退出标志很糟糕。) 【参考方案1】:查看Apache Log4j Security Vulnerabilities 页面,尤其是“Fixed in Log4j 2.12.2 and Log4j 2.16.0”标题下的说明。
它解释说,即使在最初修复 CVE-2021-44228 的 2.15.0 中,也可能存在您仍然遇到问题的情况,它有一个新 ID:CVE-2021-45046
请注意,先前涉及配置的缓解措施(例如将系统属性 log4j2.formatMsgNoLookups 设置为 true)不会缓解此特定漏洞。
为了保护自己免受新 CVE 的影响,请更新到 2.16.0。
【讨论】:
arstechnica.com/information-technology/2021/12/… 更严重的漏洞。 TL:DR 2.15.0 存在额外的潜在严重漏洞,reco 将尽快修补到 2.16.0。以上是关于2.16.0 版本中的 Log4j2 漏洞的主要内容,如果未能解决你的问题,请参考以下文章
Log4j2再发新版本2.16.0,完全删除Message Lookups的支持,加固漏洞防御
Log4j2再发新版本2.16.0,完全删除Message Lookups的支持,加固漏洞防御
卧槽!Log4j2 再爆雷,没完没了,Log4j v2.17.0 横空出世。。。
卧槽!Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。