Log4j2 再爆雷
Log4j2 這是沒完沒了了,堆疊長以為《玩大了!Log4j 2.x 再爆雷,,,》 Log4j 2.16.0 是最終終結版本了,沒想到才過多久又爆雷了:
前兩天堆疊長還說 Log4j 2.16.0 是最安全的版本,沒想到這么快就又打臉了,Log4j 2.17.0 橫空出世,,,
又來了,,Log4j2 這是中了新冠的毒?
這次又爆出來新的 DOS 拒絕服務攻擊漏洞,,
如果你想關注和學習最新、最主流的 Java 技術,可以持續關注公眾號Java技術堆疊,公眾號第一時間推送,
安全漏洞:CVE-2021-45105
漏洞摘要
Log4j 團隊又獲悉了一個重要的安全漏洞 CVE-2021-45105:
| CVE-2021-45105 | 拒絕服務攻擊漏洞 |
|---|---|
| 安全等級 | 高 |
| 影響版本 | Log4j2 2.0-alpha1 到 2.16.0 |
該漏洞已在支持 Java 8+ 版本的 Log4j 2.17.0 中得到解決,請盡快升級,
漏洞詳情
因沒有防止自參考 lookups 的不受控制的遞回,當日志配置使用帶有背景關系 Lookup 的非默認模式,例如:
$${ctx:loginId}
此時,攻擊者可以制作包含遞回查找的惡意輸入資料,導致 StackOverflowError 錯誤而終止行程,這也就是 DOS(Denial of Service)拒絕服務攻擊,
從 Log4j 2.17.0 版本開始,只有配置中的 lookup 字串才允許遞回擴展,另外,在任何其他用法中,僅決議最頂級的 lookup,不決議任何嵌套的 lookups,
解決方案
1、升級版本
立馬升級到最新版本:Log4j 2.17.0
最新正式版本下載:
https://logging.apache.org/log4j/2.x/download.html
最新 Maven 依賴:
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.0</version>
</dependency>
spring-boot-starter-log4j2 尚未更新,可以先覆寫其內置版本:
<properties>
<log4j2.version>2.17.0</log4j2.version>
</properties>
Spring Boot 基礎就不介紹了,推薦下這個實戰教程:
https://github.com/javastacks/spring-boot-best-practice
另外,Spring Boot 也在跟進此漏洞,界時新版本可以連帶解決,等新版本發布,堆疊長再給大家解讀,公眾號Java技術堆疊第一時間推送,不要走開哦,
2、臨時解決
如果你不想升級版本,可以考慮使用以下 2 種臨時解決方案:
1)在 PatternLayout 日志配置中,替換背景關系 Lookups 中的 ${ctx:loginId} 或者 $${ctx:loginId} 為執行緒背景關系映射模式(%X, %mdc, or %MDC),
2)或者,洗掉對背景關系 Lookups 中對 ${ctx:loginId} or $${ctx:loginId} 的參考,它們一般來自應用程式外部,如 HTTP Header 或用戶輸入,
總結
Log4j2 最近是魔怔了??
一直在解決漏洞,連續發版,從最開始的 Log4j 2.15.0 到現在最新 2.17.0,大大小小的版本已經發了 10 個了,影響的周期已經接近兩周了,目前還沒看到收尾的跡象,,
這次應該是爆出來的第 4 個漏洞了:
- CVE-2021-45105(拒絕服務攻擊漏洞,最新!)
- CVE-2021-45046(遠程代碼執行漏洞)
- CVE-2021-44228(遠程代碼執行漏洞)
- 資訊泄漏漏洞(安全公司 Praetorian 發現)
后面 3 個在 Log4j 2.16.0 中已經得到解決,最新的請升級 2.17.0!!!
這是不是最后一次版本不得而知,總之這個版本是必須升級的,或檢查配置,使用臨時解決方案,后續進展堆疊長也會第一時間跟進,關注公眾號Java技術堆疊,公眾號第一時間推送,
這也不能怪 Log4j2,詳細可閱讀:
Log4j2 維護者發聲:沒有工資,還要挨罵!!(我真是醉了!)
所以,用開源就要接受開源可能帶來的影響,也不能責備開源人,都是成年人了,用不用是自己的選擇,哪款產品沒有漏洞呢?哪怕是商用產品,
著作權宣告: 本文系公眾號 "Java技術堆疊" 原創,原創實屬不易,轉載、參考本文內容請注明出處,抄襲者一律舉報+投訴,并保留追究其法律責任的權利,
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2021最新版)
2.勁爆!Java 協程要來了,,,
3.玩大了!Log4j 2.x 再爆雷,,,
4.Spring Boot 2.6 正式發布,一大波新特性,,
5.《Java開發手冊(嵩山版)》最新發布,速速下載!
覺得不錯,別忘了隨手點贊+轉發哦!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/387685.html
標籤:Java
上一篇:java實作簡易的局域網對話系統