Log4j 2.x 再爆雷
最近沸沸揚揚的 Log4j2 漏洞門事件炒得熱火朝天,曆經多次版本更新。。。
最新的版本為 Log4j 2.16.0,很多人以為 Log4j 2.16.0 隻是預設禁用 JNDI 功能和移除消息的 Lookups 功能,隻要自己不亂用升不升都無所謂,覺得這個版本不是必須的,以為隻更新到 2.15.0 就萬事大吉了,非也!
棧長又看到了最新 Log4j 核彈級漏洞動态:
關于 Log4j 2.x,現在強烈建議大家更新到 2.16.0 !!!
因為,2.15.0 雖然解決了最嚴重的核彈級漏洞,但 2.15.0 的修複不完整,還存在允許攻擊者執行拒絕服務攻擊(DoS)漏洞,這個已經在最新的 2.16.0 中進行修複了。
2.15.0 雖然修複了一個核彈級漏洞,官方又新發現出來一個 DoS 攻擊漏洞,貌似是新改出來的。。還在用 2.15.0 的趕緊更新吧,目前為止,2.16.0 才是最安全的版本!!
Java 7 對應的最新是 Log4j 2.12.2 版本。
如果你想關注和學習最新、最主流的 Java 技術,可以持續關注公衆号Java技術棧,公衆号第一時間推送。
受影響項目
如果你覺得隻有 Apache Log4j 2.x 受影響,那就大錯特錯了,最近這兩天,Apache 安全團隊又公布了最新受影響的 Apache 項目,棧長做了一翻梳理:
居然有 18 個 Apache 項目受影響,大家夥看下,你們公司用了哪幾個項目,趕緊修複!
總結
棧長稍微總結下:
1、Log4j 2.15.0 并不是最安全的最終版本,還存在 DoS 攻擊漏洞,建議更新到 2.16.0;
2、Log4j 2.x 并不是特例,Apache 總共有 18 個項目中招,請自行檢查修複;
果然是核彈級漏洞,大大小小版本搞了好些個了。。
這次應該是最後一次的修複版本了,大家有沒有被折騰過多次的?
還在 2.15.0 版本的,大家夥再折騰一次吧。。。如果是内網項目,可以考慮無視!
如何下載下傳、更新、修複,以及 Spring Boot 應對方案,可參考棧長之前分享的文章:
1214 最新!Log4j 再發版,徹底斬斷核彈級漏洞,又要熬夜了。。。
最新!Log4j 2.x 再發版,正式解決核彈級漏洞,又要熬夜了。。。
Apache Log4j 爆核彈級漏洞,Spring Boot 預設日志架構就能完美躲過!!
突發!Apache Log4j2 報核彈級漏洞。。趕緊修複!!