玩大了！Log4j 2.x 再爆雷。。。-有解無憂

Log4j 2.x 再爆雷

最近沸沸揚揚的 Log4j2 漏洞門事件炒得熱火朝天，歷經多次版本升級，，，

最新的版本為 Log4j 2.16.0，很多人以為 Log4j 2.16.0 只是默認禁用 JNDI 功能和移除訊息的 Lookups 功能，只要自己不亂用升不升都無所謂，覺得這個版本不是必須的，以為只升級到 2.15.0 就萬事大吉了，非也！

堆疊長又看到了最新 Log4j 核彈級漏洞動態：

關于 Log4j 2.x，現在強烈建議大家升級到 2.16.0 ！！！

因為，2.15.0 雖然解決了最嚴重的核彈級漏洞，但 2.15.0 的修復不完整，還存在允許攻擊者執行拒絕服務攻擊（DoS）漏洞，這個已經在最新的 2.16.0 中進行修復了，

2.15.0 雖然修復了一個核彈級漏洞，官方又新發現出來一個 DoS 攻擊漏洞，貌似是新改出來的，，還在用 2.15.0 的趕緊升級吧，目前為止，2.16.0 才是最安全的版本！！

Java 7 對應的最新是 Log4j 2.12.2 版本，

如果你想關注和學習最新、最主流的 Java 技術，可以持續關注公眾號Java技術堆疊，公眾號第一時間推送，

受影響專案

如果你覺得只有 Apache Log4j 2.x 受影響，那就大錯特錯了，最近這兩天，Apache 安全團隊又公布了最新受影響的 Apache 專案，堆疊長做了一翻梳理：

序號	受影響專案	解決版本
1	Apache Archiva	2.2.6
2	Apache Calcite Avatica	1.20.0
3	Apache Druid	0.22.1
4	Apache EventMesh
5	Apache Flink
6	Apache Fortress	2.0.7
7	Apache Geode	1.12.6, 1.13.5, 1.14.1
8	Apache Hive
9	Apache Jena	4.3.1
10	Apache JMeter
11	Apache JSPWiki
12	Apache Log4J 2.x	2.16.0
13	Apache OFBiz	18.12.03
14	Apache Ozone	1.2.1
15	Apache SkyWalking	8.9.1
16	Apache Solr	8.11.1
17	Apache Struts
18	Apache TrafficControl

居然有 18 個 Apache 專案受影響，大家伙看下，你們公司用了哪幾個專案，趕緊修復！

總結

堆疊長稍微總結下:

1、Log4j 2.15.0 并不是最安全的最終版本，還存在 DoS 攻擊漏洞，建議升級到 2.16.0；

2、Log4j 2.x 并不是特例，Apache 總共有 18 個專案中招，請自行檢查修復；

果然是核彈級漏洞，大大小小版本搞了好些個了，，

這次應該是最后一次的修復版本了，大家有沒有被折騰過多次的？

還在 2.15.0 版本的，大家伙再折騰一次吧，，，如果是內網專案，可以考慮無視！

如何下載、升級、修復，以及 Spring Boot 應對方案，可參考堆疊長之前分享的文章：

1214 最新！Log4j 再發版，徹底斬斷核彈級漏洞，又要熬夜了，，，

最新！Log4j 2.x 再發版，正式解決核彈級漏洞，又要熬夜了，，，

Apache Log4j 爆核彈級漏洞，Spring Boot 默認日志框架就能完美躲過！！

突發！Apache Log4j2 報核彈級漏洞，，趕緊修復！！

如果你想關注和學習最新、最主流的 Java 技術，可以持續關注公眾號Java技術堆疊，公眾號第一時間推送，

好了，今天的分享就到這里了，后面堆疊長還會持續跟進，我也將主流 Java 面試題和參考答案都整理好了，在公眾號后臺回復關鍵字 "面試" 進行刷題，

著作權宣告： 本文系公眾號 "Java技術堆疊" 原創，原創實屬不易，轉載、參考本文內容請注明出處，抄襲者一律舉報＋投訴，并保留追究其法律責任的權利，

近期熱文推薦：

1.1,000+ 道 Java面試題及答案整理(2021最新版)

2.勁爆！Java 協程要來了，，，

3.最新！Log4j 2.x 再發版，正式解決核彈級漏洞，又要熬夜了，，，

4.Spring Boot 2.6 正式發布，一大波新特性，，

5.《Java開發手冊（嵩山版）》最新發布，速速下載！

覺得不錯，別忘了隨手點贊+轉發哦！

轉載請註明出處，本文鏈接：https://www.uj5u.com/houduan/384034.html

標籤：其他

上一篇：【作業篇】介面冪等問題探究

下一篇：當我給表弟用python寫了個雷霆戰機后...