Log4j 2.3.1 发布!又是什么鬼??

Java技术栈

共 1399字,需浏览 3分钟

 ·

2021-12-28 15:17

点击关注公众号,Java干货及时送达

最近,Log4j2 的核弹级漏洞在技术圈进行了几波轰炸,这期间,有不断加班升级修复的,有直接禁用 Lookups 功能的,还有直接换日志框架(Logback)的,好不热闹。。

说说,你们公司是哪一种呢?

栈长每次修复完以为是可以歇歇了,结果没想到每次都是史料未及,这次应该在 Log4j v2.17.0 这个版本尘埃落定了,Spring Boot 也最终发布了漏洞解决版本:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!


即使 Log4j2 的漏洞已经告一段落,可 Log4j2 又发版了:

2021/12/22 最新发布,也就是栈长写文时间。

这个 v2.12.3 和 v2.3.1 版本又是什么鬼?不会又在修复漏洞吧!!

栈长又去官网验证了下,如图:

确实是还在修复漏洞,不过还是之前的漏洞:CVE-2021-45105

CVE-2021-45105拒绝服务攻击漏洞
安全等级
影响版本Log4j2 2.0-alpha1 到 2.16.0

该漏洞已在Java 8+ 版本的 Log4j  v2.17.0 中得到解决,这次修复的是分别是 Java 7 和 Java 6 的,修复的是不同的 JDK 版本的包而已!

还好,还好,有惊无险,这次终于逃过一劫。。


总结一下:

如果把这次的版本更新也算进来,Log4j2 漏洞一共经历了 15 天:

以 Java 8 漏洞为例,一共历经 3 个正式版本5 个候选版本,共修复了 4 个漏洞:

  • CVE-2021-45105(拒绝服务攻击漏洞)
  • CVE-2021-45046(远程代码执行漏洞)
  • CVE-2021-44228(远程代码执行漏洞)
  • 信息泄漏漏洞(安全公司 Praetorian 发现)

最新 JDK 版本对应的 Log4j2 版本如下:

JDK 版本Log4j2 版本
Java 8+v2.17.0
Java 7v2.12.3
Java 6v2.3.1

最终解决方案:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

这次应该可以完美落幕了吧?再来就要杀疯了。。

Log4j2 漏洞的后续进展,栈长也会持续跟进,关注公众号Java技术栈,公众号第一时间推送。

版权声明!!!

本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。


23 种设计模式实战(很全)
重磅官宣:Redis 对象映射框架来了!!
劲爆!Java 协程要来了。。。
JetBrains 发布下一代 IDE,IDEA 可以扔了
重磅!JDK 17 发布,正式免费。。
面试官:Java 8 map 和 flatMap 的区别?
终于!Spring Cloud 2021 正式发布。。
推荐一款代码神器,代码量至少省一半!
程序员精通各种技术体系,45岁求职难!
重磅!Spring Boot 2.6 正式发布
Spring Boot 学习笔记,这个太全了!



关注Java技术栈看更多干货



获取 Spring Boot 实战笔记!
浏览 7
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报