背景
這幾天為了應對《突發!Apache Log4j2 報核彈級漏洞。。趕緊修複!!》,Log4j2 連續釋出了兩個 RC(Release Candidate)候選版本,1 個正式版本。
在第一次的 RC1 候選版本中,Log4j2 還存在漏洞繞過風險,官方随後又釋出了 RC2,後面就釋出了 Log4j 2.15.0 正式版本,可用于生産環境,正式解決了核彈極漏洞。
今天棧長打開公衆号Java技術棧,又有粉絲留言說,2.16.0 釋出了!!
棧長前往一看:
我天!Log4j 又在搞什麼鬼?這又發了 3 個版本??
2 個候選版本,1 個正式版本:2.16.0
是的,又一個正式版本 Log4j 2.16.0 釋出了,可用于生産環境。。
下面來看下 2.15.0 - 2.16.0 兩個版本都修複了啥内容。
解決漏洞:CVE-2021-44228
漏洞原因:
Log4j2 中提供了Lookups 機制,用于添加一些特殊值到日志中,在 Lookups 機制中,由于 JNDI 功能沒有對名稱解析做限制,而某些協定是不安全的,可以允許遠端代碼執行,進而導緻核彈級漏洞。
2.15.0 修複内容:
1、Log4j 2.15.0+ 現在預設将協定限制為僅 java、ldap 和 ldaps,并将 ldap 協定做通路限制了,預設僅允許通路本地伺服器上的 Java 原始對象。
2、Log4j 2.15.0+ 現在預設禁用 Lookups 功能,雖然 Log4j 2.x 沒有完全廢除這項功能,但強烈建議大家不要啟用它。
2.16.0 修複内容:
1、預設禁用 JNDI 功能。
2、移除消息的 Lookups 功能。
總結
2.15.0 隻是對危險功能做了限制和預設禁用,2.16.0 就狠了,幹脆直接幹掉了。
2.16.0 這次更新也是很有必要的,直接斬草除根,将未知風險扼殺在搖籃裡,這也是為了防止使用者不小心開啟,因為漏洞過去,大家就會疏于防範,在不注意的情況下又會造成漏洞。
果然是核彈級漏洞,大大小小版本搞了好些個了。。這次應該是最後一次的修複版本了吧?大家有沒有被折騰過多次的?是以,如果有必要,你可能還要再折騰一次。。。
如何下載下傳、更新、修複,以及 Spring Boot 應對方案,可參考棧長之前分享的文章:
最新!Log4j 2.x 再發版,正式解決核彈級漏洞,又要熬夜了。。。
Apache Log4j 爆核彈級漏洞,Spring Boot 預設日志架構就能完美躲過!!
突發!Apache Log4j2 報核彈級漏洞。。趕緊修複!!
如果你想關注和學習最新、最主流的 Java 技術,可以持續關注公衆号Java技術棧,公衆号第一時間推送。
好了,今天的分享就到這裡了,後面棧長還會持續跟進,我也将主流 Java 面試題和參考答案都整理好了,在公衆号背景回複關鍵字 "面試" 進行刷題。
![Java String.format方法的簡單使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)