正文

最新：log4j2.x再发版，正式解决核弹级漏洞，又要熬夜了。。。(代码片段)

Java技术栈  Java技术栈  2023-02-25  196

关键词：

背景

这几天为了应对《突发！Apache Log4j2 报核弹级漏洞。。赶紧修复！！》，Log4j2 连续发布了两个 RC（Release Candidate）候选版本。

在第一次的 RC1 候选版本中，Log4j2 还存在漏洞绕过风险，官方随后又发布了 RC2，现在终于彻底解决了，2.15.0 版本转正，正式发布：

有没有被折腾过两次的？

Log4j 2.15.0 正式版来了，可真正用于生产环境，所以，现在你可能还要再折腾一次。。。

解决漏洞：CVE-2021-44228

漏洞原因：

Log4j2 中提供了Lookups 机制，用于添加一些特殊值到日志中，在 Lookups 机制中，由于 JNDI 功能没有对名称解析做限制，而某些协议是不安全的，可以允许远程代码执行，从而导致核弹级漏洞。

修复内容：

1、Log4j 2.15.0+ 现在默认将协议限制为仅 java、ldap 和 ldaps，并将 ldap 协议做访问限制了，默认仅允许访问本地服务器上的 Java 原始对象。

2、Log4j 2.15.0+ 现在默认禁用 Lookups 功能，虽然 Log4j 2.x 没有完全废除这项功能，但强烈建议大家不要启用它。

新特性

除了解决漏洞：CVE-2021-44228，Log4j 2.15.0 还有以下 3 个新特性：

支持仲裁器，可以有条件地启用 inclusion 或者 exclusion 日志配置部分；
支持 Jakarta EE 9；
大量性能提升；

下载升级

最新正式版本下载：

https://logging.apache.org/log4j/2.x/download.html

最新 Maven 依赖：

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.15.0</version>
</dependency>

spring-boot-starter-log4j2 尚未更新，可以先覆盖其内置版本：

<properties>
  <log4j2.version>2.15.0</log4j2.version>
</properties>

或者也不用升级 jar 包，先使用官方的解决参数先解决，参考：《突发！Apache Log4j2 报核弹级漏洞。。赶紧修复！！》，等 Spring Boot 发布新版本再更新即可。

Spring Boot 基础就不介绍了，推荐下这个实战教程：

https://github.com/javastacks/spring-boot-best-practice

另外，Spring Boot 也跟进此漏洞：

Spring Boot v2.5.8 & v2.6.2 将采用 Log4J v2.15.0 版本，界时可以解决此漏洞，等新版本发布，预计在 2021/12/23，栈长再给大家解读，公众号Java技术栈第一时间推送，不要走开哦。

总结

Log4j 2.15.0 转正了，发布正式版了，解决了 CVE-2021-44228 漏洞，还有 3 个新特性，如果你们已经升级解决了，不纠结是否正式版本，可以忽略此版本，不然你还要再折腾一次。。

如果你们用的 Spring Boot，可以等这个月 23 号的新版本，不过为了解决这个漏洞升级到最新的 Spring Boot 版本，这个值得大家商榷，或许不是大部分人的最佳选择。

好了，今天的分享就到这里了，后面栈长会分享更多好玩的 Java 技术和最新的技术资讯，关注公众号Java技术栈第一时间推送，我也将主流 Java 面试题和参考答案都整理好了，在公众号后台回复关键字 "面试" 进行刷题。

版权声明： 本文系公众号 "Java技术栈" 原创，原创实属不易，转载、引用本文内容请注明出处，抄袭者一律举报＋投诉，并保留追究其法律责任的权利。

近期热文推荐：

1.1,000+ 道 Java面试题及答案整理(2021最新版)

2.别在再满屏的 if/ else 了，试试策略模式，真香！！

3.卧槽！Java 中的 xx ≠ null 是什么新语法？

4.Spring Boot 2.6 正式发布，一大波新特性。。

5.《Java开发手册（嵩山版）》最新发布，速速下载！

觉得不错，别忘了随手点赞+转发哦！

1214最新！log4j再发版，彻底斩断核弹级漏洞，又要熬夜了。。。

点击关注公众号，Java干货及时送达背景这几天为了应对《突发！ApacheLog4j2报核弹级漏洞。。赶紧修复！！》，Log4j2连续发布了两个RC（ReleaseCandidate）候选版本，1个正式版本。在第一次的RC1候选版本... 查看详情

1214最新：log4j再发版，彻底斩断核弹级漏洞，又要熬夜了。。。

背景这几天为了应对《突发！ApacheLog4j2报核弹级漏洞。。赶紧修复！！》，Log4j2连续发布了两个RC（ReleaseCandidate）候选版本，1个正式版本。在第一次的RC1候选版本中，Log4j2还存在漏洞绕过风险，... 查看详情

终于！springboot发布最新版，一招解决log4j2核弹级漏洞！

点击关注公众号，Java干货及时送达ApacheLog4j2漏洞最新进展及解决方案：《卧槽！Log4j2再爆雷，Log4jv2.17.0横空出世。。。》上一篇：重磅！SpringBoot2.6.1正式发布SpringBoot2.6.2发布关注公众号Java技术栈的小伙伴... 查看详情

终于！springboot发布最新版，一招解决log4j2核弹级漏洞！

玩大了，log4j2.x再爆雷。。。

...2漏洞门事件炒得热火朝天，历经多次版本升级。。。最新的版本为Log4j2.16.0，很多人以为Log4j2.16.0只是默认禁用JNDI功能和移除消息的Lookups功能，只要自己不乱用升不升都无所谓，觉得这个版本不是必须的，以... 查看详情

玩大了，log4j2.x再爆雷。。。

玩大了！log4j2.x再爆雷。。。

log4j爆“核弹级”漏洞，flink、kafka等至少十多个项目受影响

参考技术A作者|褚杏娟昨晚，对很多程序员来说可能是一个不眠之夜。12月10日凌晨，Apache开源项目Log4j的远程代码执行漏洞细节被公开，由于Log4j的广泛使用，该漏洞一旦被攻击者利用会造成严重危害。据悉，ApacheLog4j2.x 查看详情

apachelog4j爆核弹级漏洞，springboot默认日志框架就能完美躲过！！

...og4j2漏洞门事件炒得热火朝天：突发！ApacheLog4j2报核弹级漏洞。。赶紧修复！！如果你使用的是Log4j1.x、Logback或者其他日志框架，这次就可以幸免于难。Log4j1.x就不用说了，这是老古董了，也就是传说中... 查看详情

apachelog4j爆核弹级漏洞，springboot默认日志框架就能完美躲过。。。

突发！log4j爆“核弹级”漏洞，flink等项目受影响，提供flink解决方法，赶紧修！...(代码片段)

昨天，你应急了吗？昨晚，对很多程序员来说可能是一个不眠之夜。12月10日凌晨，Apache开源项目Log4j的远程代码执行漏洞细节被公开，由于Log4j的广泛使用，该漏洞一旦被攻击者利用会造成严重危害。据... 查看详情

让java界无人入眠的「核弹级」「史诗级」漏洞，我却看到了不一样

...。大家好，我是校长。想必大家昨天都被Log4j爆出的核弹级漏洞给刷屏了吧？昨天早上，流行度超高的Java日志框架Log4j2，被曝出了一个惊天大漏洞。该漏洞影响范围之广，后果有多恐怖，恐怕Java界的程序... 查看详情

重磅！log4j爆“核弹级”漏洞，flinkkafka等至少十多个项目受影响

点击上方关注“终端研发部”设为“星标”，和你一起掌握更多数据库知识作者|褚杏娟昨晚，你熬夜应急了吗？昨晚，对很多程序员来说可能是一个不眠之夜。12月10日凌晨，Apache开源项目Log4j的远程代... 查看详情

突发！log4j爆“核弹级”漏洞，flinkkafka等至少十多个项目受影响

点击机器学习算法与Python学习，选择加星标精彩内容不迷路本文来自InfoQ昨晚，对很多程序员来说可能是一个不眠之夜。12月10日凌晨，Apache开源项目Log4j的远程代码执行漏洞细节被公开，由于Log4j的广泛使用，... 查看详情

突发！log4j爆“核弹级”漏洞，flinkkafka等至少十多个项目受影响

作者|褚杏娟这两天，你熬夜应急了吗？昨晚，对很多程序员来说可能是一个不眠之夜。12月10日凌晨，Apache开源项目Log4j的远程代码执行漏洞细节被公开，由于Log4j的广泛使用，该漏洞一旦被攻击者利... 查看详情

一行配置解决springboot项目的log4j2核弹漏洞(代码片段)

...施和解决方案。同时，log4j2官方也是速度影响发布了最新的修复版本。各应用方也可以执行较为稳定的修复方案了。不过我看到群里发出来的各种修复方法，还真是不好看…所以这里也提一下SpringBoot用户怎么修复最简单... 查看详情