Apache Log4j2.x 漏洞

截止21-12-29 log4j 最新版本为2.17.1

截止21-12-20 log4j 最新版本为2.17.0 

 

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core

 

 

  

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.1</version>
</dependency>

 

https://logging.apache.org/log4j/2.x/

 

---

 

21-12-15:

近日国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞，通用漏洞编号CNVD-2021-95914。

Apache Log4j2是一款Java日志框架，由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞，漏洞利用无需特殊配置。漏洞等级为：高危。

目前受影响范围如下：

Apache Log4j 2.x < 2.15.0-rc2

建议使用相关组件的开发者进行自查，发现存在该漏洞后及时按照以下方案进行处置：

1、禁用lookup属性

    1）2.10.0 及以上版本，在 java 启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true

    2）2.9.x 版本，升级至 2.10.0，再进行配置

2、更新至 Apache Log4j 2.15.0版本

---

 

使用spring-boot-starter-log4j2

利用Spring Boot组件的版本机制修改log4j2版本

<properties>
        <log4j2.version>2.17.0</log4j2.version>
</properties>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-log4j2</artifactId>
</dependency>

---

 

 

 

 

 

---