青青自拍视频在线,欧美在线无码精品秘蜜桃,亚洲va欧美va国产va精品,99re在线视频观看,大香蕉国产三级,国产乱码一区二区三区,91干视频在线观看,大鸡吧日逼网站

本以為，經(jīng)過上周的2.16.0版本升級(jí)，Log4j2的漏洞修復(fù)工作，大家基本都要告一段落了。

萬萬沒想到，就在周末，Log4j官方又發(fā)布了新版本：2.17.0

該版本主要修復(fù)安全漏洞：CVE-2021-45105

影響版本：2.0-alpha1 至 2.16.0（1.x用戶繼續(xù)忽略）

該漏洞只有當(dāng)日志配置使用帶有Context Lookups的非默認(rèn) Pattern Layout（例如$${ctx:loginId}）時(shí)，攻擊者可以通過構(gòu)造包含遞歸查找的惡意輸入數(shù)據(jù)，觸發(fā)無限循環(huán)，導(dǎo)致 StackOverflowError，最終進(jìn)程崩潰。

這次漏洞受影響的只有l(wèi)og4j-core，僅使用log4j-api的程序不需要擔(dān)心。所以，大家可以通過升級(jí)log4j-core來修復(fù)該漏洞的

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>

當(dāng)然，如果你是Spring Boot影響，按照之前一行配置搞定Spring Boot項(xiàng)目的 log4j2 核彈漏洞！分享的方法可以更方便的升級(jí)。如果您正在學(xué)習(xí)Spring Boot，那么推薦一個(gè)連載多年還在繼續(xù)更新的免費(fèi)教程：http://blog.didispace.com/spring-boot-learning-2x/ 。

如果目前還不方便升級(jí)版本的話，也可以采用下面的兩種方法來緩解此漏洞：

在日志配置的 PatternLayout 中，用 %X、%mdc 或 %MDC 來替換 ${ctx:loginId} 或 $${ctx:loginId} 等Context Lookups
在使用外部數(shù)據(jù)（HTTP Header或用戶輸入等）的地方，刪除對(duì)Context Lookups的引用（如 ${ctx:loginId} 或 $${ctx:loginId} ）

好了，不多說了，大家抓緊自查下，最好必要的防護(hù)措施，爭(zhēng)取早點(diǎn)睡個(gè)好覺！

往期推薦

log4j2的核彈漏洞是如何被發(fā)現(xiàn)的？

為什么加上配置就可以更新log4j2的版本？

Log4j2再發(fā)新版本2.16.0，完全刪除Message Lookups的支持！

一行配置搞定Spring Boot項(xiàng)目的 log4j2 核彈漏洞！

緊急！Log4j 史詩級(jí)漏洞來襲，已引起大規(guī)模入侵，速速自查！

技術(shù)交流群

最近有很多人問，有沒有讀者交流群，想知道怎么加入。加入方式很簡(jiǎn)單，有興趣的同學(xué)，只需要點(diǎn)擊下方卡片，回復(fù)“加群“，即可免費(fèi)加入我們的高質(zhì)量技術(shù)交流群！

點(diǎn)擊閱讀原文，送你免費(fèi)Spring Boot教程！

Log4j2又爆雷！2.16.0存在DOS攻擊風(fēng)險(xiǎn)，升級(jí)到2.17.0可解決！

Log4j2又爆雷！2.16.0存在DOS攻擊風(fēng)險(xiǎn)，升級(jí)到2.17.0可解決！