背景
這幾天為了應對《突發!Apache Log4j2 報核彈級漏洞,,趕緊修復!!》,Log4j2 連續發布了兩個 RC(Release Candidate)候選版本,1 個正式版本,
在第一次的 RC1 候選版本中,Log4j2 還存在漏洞繞過風險,官方隨后又發布了 RC2,后面就發布了 Log4j 2.15.0 正式版本,可用于生產環境,正式解決了核彈極漏洞,
今天堆疊長打開公眾號Java技術堆疊,又有粉絲留言說,2.16.0 發布了!!
堆疊長前往一看:
我天!Log4j 又在搞什么鬼?這又發了 3 個版本??
2 個候選版本,1 個正式版本:2.16.0
是的,又一個正式版本 Log4j 2.16.0 發布了,可用于生產環境,,
下面來看下 2.15.0 - 2.16.0 兩個版本都修復了啥內容,
解決漏洞:CVE-2021-44228
漏洞原因:
Log4j2 中提供了Lookups 機制,用于添加一些特殊值到日志中,在 Lookups 機制中,由于 JNDI 功能沒有對名稱決議做限制,而某些協議是不安全的,可以允許遠程代碼執行,從而導致核彈級漏洞,
2.15.0 修復內容:
1、Log4j 2.15.0+ 現在默認將協議限制為僅 java、ldap 和 ldaps,并將 ldap 協議做訪問限制了,默認僅允許訪問本地服務器上的 Java 原始物件,
2、Log4j 2.15.0+ 現在默認禁用 Lookups 功能,雖然 Log4j 2.x 沒有完全廢除這項功能,但強烈建議大家不要啟用它,
2.16.0 修復內容:
1、默認禁用 JNDI 功能,
2、移除訊息的 Lookups 功能,
總結
2.15.0 只是對危險功能做了限制和默認禁用,2.16.0 就狠了,干脆直接干掉了,
2.16.0 這次更新也是很有必要的,直接斬草除根,將未知風險扼殺在搖籃里,這也是為了防止用戶不小心開啟,因為漏洞過去,大家就會疏于防范,在不注意的情況下又會造成漏洞,
果然是核彈級漏洞,大大小小版本搞了好些個了,,這次應該是最后一次的修復版本了吧?大家有沒有被折騰過多次的?所以,如果有必要,你可能還要再折騰一次,,,
如何下載、升級、修復,以及 Spring Boot 應對方案,可參考堆疊長之前分享的文章:
- 最新!Log4j 2.x 再發版,正式解決核彈級漏洞,又要熬夜了,,,
- Apache Log4j 爆核彈級漏洞,Spring Boot 默認日志框架就能完美躲過!!
- 突發!Apache Log4j2 報核彈級漏洞,,趕緊修復!!
如果你想關注和學習最新、最主流的 Java 技術,可以持續關注公眾號Java技術堆疊,公眾號第一時間推送,
好了,今天的分享就到這里了,后面堆疊長還會持續跟進,我也將主流 Java 面試題和參考答案都整理好了,在公眾號后臺回復關鍵字 "面試" 進行刷題,
著作權宣告: 本文系公眾號 "Java技術堆疊" 原創,原創實屬不易,轉載、參考本文內容請注明出處,抄襲者一律舉報+投訴,并保留追究其法律責任的權利,
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2021最新版)
2.勁爆!Java 協程要來了,,,
3.最新!Log4j 2.x 再發版,正式解決核彈級漏洞,又要熬夜了,,,
4.Spring Boot 2.6 正式發布,一大波新特性,,
5.《Java開發手冊(嵩山版)》最新發布,速速下載!
覺得不錯,別忘了隨手點贊+轉發哦!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/380816.html
標籤:Java