Log4j 2.3.1 发布!又是什么鬼??

最近,Log4j2 的核弹级漏洞在技术圈进行了几波轰炸,这期间,有不断加班升级修复的,有直接禁用 Lookups 功能的,还有直接换日志框架(Logback)的,好不热闹。。

说说,你们公司是哪一种呢?

栈长每次修复完以为是可以歇歇了,结果没想到每次都是史料未及,这次应该在 Log4j v2.17.0 这个版本尘埃落定了,Spring Boot 也最终发布了漏洞解决版本:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!


即使 Log4j2 的漏洞已经告一段落,可 Log4j2 又发版了:

2021/12/22 最新发布,也就是栈长写文时间。

这个 v2.12.3 和 v2.3.1 版本又是什么鬼?不会又在修复漏洞吧!!

栈长又去官网验证了下,如图:

确实是还在修复漏洞,不过还是之前的漏洞:CVE-2021-45105

CVE-2021-45105 拒绝服务攻击漏洞
安全等级
影响版本 Log4j2 2.0-alpha1 到 2.16.0

该漏洞已在Java 8+ 版本的 Log4j v2.17.0 中得到解决,这次修复的是分别是 Java 7 和 Java 6 的,修复的是不同的 JDK 版本的包而已!

还好,还好,有惊无险,这次终于逃过一劫。。


总结一下:

如果把这次的版本更新也算进来,Log4j2 漏洞一共经历了 15 天:

以 Java 8 漏洞为例,一共历经 3 个正式版本5 个候选版本,共修复了 4 个漏洞:

  • CVE-2021-45105(拒绝服务攻击漏洞)
  • CVE-2021-45046(远程代码执行漏洞)
  • CVE-2021-44228(远程代码执行漏洞)
  • 信息泄漏漏洞(安全公司 Praetorian 发现)

最新 JDK 版本对应的 Log4j2 版本如下:

JDK 版本 Log4j2 版本
Java 8+ v2.17.0
Java 7 v2.12.3
Java 6 v2.3.1

最终解决方案:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

这次应该可以完美落幕了吧?再来就要杀疯了。。

Log4j2 漏洞的后续进展,栈长也会持续跟进,关注公众号Java技术栈,公众号第一时间推送。

版权声明!!!

本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。

近期热文推荐:

1.1,000+ 道 Java面试题及答案整理(2021最新版)

2.劲爆!Java 协程要来了。。。

3.玩大了!Log4j 2.x 再爆雷。。。

4.Spring Boot 2.6 正式发布,一大波新特性。。

5.《Java开发手册(嵩山版)》最新发布,速速下载!

觉得不错,别忘了随手点赞+转发哦!

posted @ 2021-12-24 14:49  Java技术栈  阅读(199)  评论(0编辑  收藏  举报