#Log4j

最新消息!根据Log4j官网发布,2.17.0版本还存在漏洞! 上图来自Log4j2官网:https://logging.apache.org/log4j/2.x/ 漏洞编号:CVE-2021-44832 漏洞内容:Log4j2提供的JDBCAppender功能,将日志信息写入数据库中,这个过程需要JNDI的支持,故攻击者可以利用此来执行任意代码。 危害等级:中 影响范围:2.17.0及以下版本(不包含2.12.4、2.3.2) 修复措施:升级Log4j2的版本 Java 8或之后用户升级到最新的2.17.1 Java 7用户升级到2.12.4 Java 6用户升级到2.3.2 这个漏洞跟之前曝出的Logback漏洞类似,因为存在苛刻的利用条件,所以危害并不是很大。也许后面你马上会看到很多来自营销号危言耸天的标题,希望你可以冷静看待,不必慌张… 点赞,转发,让更多人知道本质,不...

本以为,经过上周的2.16.0版本升级,Log4j2的漏洞修复工作,大家基本都要告一段落了。 万万没想到,就在周末,Log4j官方又发布了新版本:2.17.0 该版本主要修复安全漏洞:CVE-2021-45105 影响版本:2.0-alpha1 至 2.16.0(1.x用户继续忽略) 该漏洞只有当日志配置使用带有Context Lookups的非默认 Pattern Layout(例如$${ctx:loginId})时,攻击者可以通过构造包含递归查找的恶意输入数据,触发无限循环,导致 StackOverflowError,最终进程崩溃。 这次漏洞受影响的只有log4j-core,仅使用log4j-api的程序不需要担心。所以,大家可以通过升级log4j-core来修复该漏洞的 <dependency> <groupId>org.apache.logg...

昨天,Apache Log4j 团队再次发布了新版本:2.16.0! 2.16.0 更新内容 默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启 默认允许协议限制为:java、ldap、ldaps,并将ldap协议限制为仅可访问Java原始对象 Message Lookups被完全移除,加固漏洞的防御 更多细节,可以通过官网查看:https://logging.apache.org/log4j/2.x/ 如果您正在学习Spring Boot,那么推荐一个连载多年还在继续更新的免费教程:https://blog.didispace.com/spring-boot-learning-2x/ Spring Boot用户如何升级Spring Boot用户依然可以通过前几天分享的Spring Boot应用简易升级Spring Boot下所有log4j版本的...