关键词:
背景
这几天为了应对《突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!》,Log4j2 连续发布了两个 RC(Release Candidate)候选版本。
在第一次的 RC1 候选版本中,Log4j2 还存在漏洞绕过风险,官方随后又发布了 RC2,现在终于彻底解决了,2.15.0 版本转正,正式发布:
有没有被折腾过两次的?
Log4j 2.15.0 正式版来了,可真正用于生产环境,所以,现在你可能还要再折腾一次。。。
解决漏洞:CVE-2021-44228
漏洞原因:
Log4j2 中提供了Lookups 机制,用于添加一些特殊值到日志中,在 Lookups 机制中,由于 JNDI 功能没有对名称解析做限制,而某些协议是不安全的,可以允许远程代码执行,从而导致核弹级漏洞。
修复内容:
1、Log4j 2.15.0+ 现在默认将协议限制为仅 java、ldap 和 ldaps,并将 ldap 协议做访问限制了,默认仅允许访问本地服务器上的 Java 原始对象。
2、Log4j 2.15.0+ 现在默认禁用 Lookups 功能,虽然 Log4j 2.x 没有完全废除这项功能,但强烈建议大家不要启用它。
新特性
除了解决漏洞:CVE-2021-44228,Log4j 2.15.0 还有以下 3 个新特性:
- 支持仲裁器,可以有条件地启用 inclusion 或者 exclusion 日志配置部分;
- 支持 Jakarta EE 9;
- 大量性能提升;
下载升级
最新正式版本下载:
最新 Maven 依赖:
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
spring-boot-starter-log4j2 尚未更新,可以先覆盖其内置版本:
<properties>
<log4j2.version>2.15.0</log4j2.version>
</properties>
或者也不用升级 jar 包,先使用官方的解决参数先解决,参考:《突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!》,等 Spring Boot 发布新版本再更新即可。
Spring Boot 基础就不介绍了,推荐下这个实战教程:
另外,Spring Boot 也跟进此漏洞:
Spring Boot v2.5.8 & v2.6.2 将采用 Log4J v2.15.0 版本,界时可以解决此漏洞,等新版本发布,预计在 2021/12/23,栈长再给大家解读,公众号Java技术栈第一时间推送,不要走开哦。
总结
Log4j 2.15.0 转正了,发布正式版了,解决了 CVE-2021-44228 漏洞,还有 3 个新特性,如果你们已经升级解决了,不纠结是否正式版本,可以忽略此版本,不然你还要再折腾一次。。
如果你们用的 Spring Boot,可以等这个月 23 号的新版本,不过为了解决这个漏洞升级到最新的 Spring Boot 版本,这个值得大家商榷,或许不是大部分人的最佳选择。
好了,今天的分享就到这里了,后面栈长会分享更多好玩的 Java 技术和最新的技术资讯,关注公众号Java技术栈第一时间推送,我也将主流 Java 面试题和参考答案都整理好了,在公众号后台回复关键字 "面试" 进行刷题。
版权声明: 本文系公众号 "Java技术栈" 原创,原创实属不易,转载、引用本文内容请注明出处,抄袭者一律举报+投诉,并保留追究其法律责任的权利。
近期热文推荐:
1.1,000+ 道 Java面试题及答案整理(2021最新版)
2.别在再满屏的 if/ else 了,试试策略模式,真香!!
3.卧槽!Java 中的 xx ≠ null 是什么新语法?
4.Spring Boot 2.6 正式发布,一大波新特性。。
觉得不错,别忘了随手点赞+转发哦!
1214最新!log4j再发版,彻底斩断核弹级漏洞,又要熬夜了。。。
点击关注公众号,Java干货及时送达背景这几天为了应对《突发!ApacheLog4j2报核弹级漏洞。。赶紧修复!!》,Log4j2连续发布了两个RC(ReleaseCandidate)候选版本,1个正式版本。在第一次的RC1候选版本... 查看详情
1214最新:log4j再发版,彻底斩断核弹级漏洞,又要熬夜了。。。
背景这几天为了应对《突发!ApacheLog4j2报核弹级漏洞。。赶紧修复!!》,Log4j2连续发布了两个RC(ReleaseCandidate)候选版本,1个正式版本。在第一次的RC1候选版本中,Log4j2还存在漏洞绕过风险,... 查看详情
终于!springboot发布最新版,一招解决log4j2核弹级漏洞!
点击关注公众号,Java干货及时送达ApacheLog4j2漏洞最新进展及解决方案:《卧槽!Log4j2再爆雷,Log4jv2.17.0横空出世。。。》上一篇:重磅!SpringBoot2.6.1正式发布SpringBoot2.6.2发布关注公众号Java技术栈的小伙伴... 查看详情
终于!springboot发布最新版,一招解决log4j2核弹级漏洞!
点击关注公众号,Java干货及时送达ApacheLog4j2漏洞最新进展及解决方案:《卧槽!Log4j2再爆雷,Log4jv2.17.0横空出世。。。》上一篇:重磅!SpringBoot2.6.1正式发布SpringBoot2.6.2发布关注公众号Java技术栈的小伙伴... 查看详情
玩大了,log4j2.x再爆雷。。。
...2漏洞门事件炒得热火朝天,历经多次版本升级。。。最新的版本为Log4j2.16.0,很多人以为Log4j2.16.0只是默认禁用JNDI功能和移除消息的Lookups功能,只要自己不乱用升不升都无所谓,觉得这个版本不是必须的,以... 查看详情
玩大了,log4j2.x再爆雷。。。
...2漏洞门事件炒得热火朝天,历经多次版本升级。。。最新的版本为Log4j2.16.0,很多人以为Log4j2.16.0只是默认禁用JNDI功能和移除消息的Lookups功能,只要自己不乱用升不升都无所谓,觉得这个版本不是必须的,以... 查看详情
玩大了!log4j2.x再爆雷。。。
...2漏洞门事件炒得热火朝天,历经多次版本升级。。。最新的版本为Log4j2.16.0,很多人以为Log4j2.16.0只是默认禁用JNDI功能和移除消息的Lookups功能,只要自己不乱用升不升都无所谓,觉得这个版本不是必须的,以... 查看详情
玩大了!log4j2.x再爆雷。。。
...2漏洞门事件炒得热火朝天,历经多次版本升级。。。最新的版本为Log4j2.16.0,很多人以为Log4j2.16.0只是默认禁用JNDI功能和移除消息的Lookups功能,只要自己不乱用升不升都无所谓,觉得这个版本不是必须的,以... 查看详情
log4j爆“核弹级”漏洞,flink、kafka等至少十多个项目受影响
参考技术A作者|褚杏娟昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。据悉,ApacheLog4j2.x 查看详情
apachelog4j爆核弹级漏洞,springboot默认日志框架就能完美躲过!!
...og4j2漏洞门事件炒得热火朝天:突发!ApacheLog4j2报核弹级漏洞。。赶紧修复!!如果你使用的是Log4j1.x、Logback或者其他日志框架,这次就可以幸免于难。Log4j1.x就不用说了,这是老古董了,也就是传说中... 查看详情
apachelog4j爆核弹级漏洞,springboot默认日志框架就能完美躲过。。。
...og4j2漏洞门事件炒得热火朝天:突发!ApacheLog4j2报核弹级漏洞。。赶紧修复!!如果你使用的是Log4j1.x、Logback或者其他日志框架,这次就可以幸免于难。Log4j1.x就不用说了,这是老古董了,也就是传说中... 查看详情
突发!log4j爆“核弹级”漏洞,flink等项目受影响,提供flink解决方法,赶紧修!...(代码片段)
昨天,你应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。据... 查看详情
让java界无人入眠的「核弹级」「史诗级」漏洞,我却看到了不一样
...。大家好,我是校长。想必大家昨天都被Log4j爆出的核弹级漏洞给刷屏了吧?昨天早上,流行度超高的Java日志框架Log4j2,被曝出了一个惊天大漏洞。该漏洞影响范围之广,后果有多恐怖,恐怕Java界的程序... 查看详情
重磅!log4j爆“核弹级”漏洞,flinkkafka等至少十多个项目受影响
点击上方关注“终端研发部”设为“星标”,和你一起掌握更多数据库知识作者|褚杏娟 昨晚,你熬夜应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代... 查看详情
突发!log4j爆“核弹级”漏洞,flinkkafka等至少十多个项目受影响
点击机器学习算法与Python学习,选择加星标精彩内容不迷路本文来自InfoQ昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,... 查看详情
突发!log4j爆“核弹级”漏洞,flinkkafka等至少十多个项目受影响
作者|褚杏娟 这两天,你熬夜应急了吗? 昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,该漏洞一旦被攻击者利... 查看详情
一行配置解决springboot项目的log4j2核弹漏洞(代码片段)
...施和解决方案。同时,log4j2官方也是速度影响发布了最新的修复版本。各应用方也可以执行较为稳定的修复方案了。不过我看到群里发出来的各种修复方法,还真是不好看…所以这里也提一下SpringBoot用户怎么修复最简单... 查看详情
一行配置解决springboot项目的log4j2核弹漏洞(代码片段)
...施和解决方案。同时,log4j2官方也是速度影响发布了最新的修复版本。各应用方也可以执行较为稳定的修复方案了。不过我看到群里发出来的各种修复方法,还真是不好看…所以这里也提一下SpringBoot用户怎么修复最简单... 查看详情