Apache Log4j2.x 漏洞
截止21-12-29 log4j 最新版本为2.17.1
截止21-12-20 log4j 最新版本为2.17.0
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.17.1</version> </dependency>
https://logging.apache.org/log4j/2.x/
21-12-15:
近日国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞,通用漏洞编号CNVD-2021-95914。
Apache Log4j2是一款Java日志框架,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞,漏洞利用无需特殊配置。漏洞等级为:高危。
目前受影响范围如下:
Apache Log4j 2.x < 2.15.0-rc2
建议使用相关组件的开发者进行自查,发现存在该漏洞后及时按照以下方案进行处置:
1、禁用lookup属性
1)2.10.0 及以上版本,在 java 启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true
2)2.9.x 版本,升级至 2.10.0,再进行配置
2、更新至 Apache Log4j 2.15.0版本
使用spring-boot-starter-log4j2
利用Spring Boot组件的版本机制修改log4j2版本
<properties> <log4j2.version>2.17.0</log4j2.version> </properties> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> </dependency>
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· 震惊!C++程序真的从main开始吗?99%的程序员都答错了
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 单元测试从入门到精通
· 上周热点回顾(3.3-3.9)
· winform 绘制太阳,地球,月球 运作规律