Log4j2 剛升級，又爆有漏洞？？？

最近的 Log4j2 漏洞想必大家都知道了，11月9日晚開源項目 Apache Log4j 2 的一個遠程代碼執(zhí)行漏洞的利用細節(jié)被公開，隨著 Apache Log4j 2.15.0 正式版發(fā)布，該漏洞已得到解決。

然而，安全公司 Praetorian 在博客宣布，他們在 Apache Log4j 2.15.0 版本又發(fā)現(xiàn)了一個遠程數(shù)據(jù)泄露的漏洞，可用于從受影響的服務(wù)器下載數(shù)據(jù)。

Apache Log4j2 是一款優(yōu)秀的 Java 日志框架。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。大多數(shù)情況下，開發(fā)者可能會將用戶輸入導(dǎo)致的錯誤信息寫入日志中。

Praetorian 表示，他們已將該問題的技術(shù)細節(jié)傳遞給 Apache 基金會，但在此期間，Praetorian 強烈建議用戶盡快升級到 2.16.0。

Praetorian 將實行負責任的披露，因此目前不會公開分享技術(shù)細節(jié)，以免出現(xiàn)更大的問題。

# 強烈推薦升級2.16.0 ？？？別著急

修正錯誤

LOG4J2-3208：默認禁用 JNDI。需要 設(shè)置為 以允許 JNDI。LOG4J2-3211：完全刪除對消息查找的支持。

Apache Log4j 2.16.0 至少需要 Java 8 才能構(gòu)建和運行。Log4j 2.12.1 是最后一個支持 Java 7 的版本。Java 7 不是Log4j 團隊的長期支持版本。

有關(guān) Apache Log4j 2 的完整信息，包括有關(guān)如何提交錯誤報告、補丁或改進建議，

請參閱 Apache Apache Log4j 2 網(wǎng)站：https://logging.apache.org/log4j/2.x

# 估計這些安全專家是和log4j杠上了

剛把代碼里的log4j升級到2.15就說又有漏洞，還沒來得及升到2.16又有漏洞，再等等，下周會不會出2.18?。。?/span>

佑佑有話說：往期精選文章
Intellij IDEA 高效使用教程
解決支付訂單，重復(fù)提交問題！
Redis 的這些拓展方案


掃碼二維碼
添加佑佑小哥哥

【佑佑有話說】：因為公眾號運維也需要時間、精力以及少部分資金，所以也會引入些許廣告，敬請理解，我們保證不會存在任何的無理、非法收費行為，所以還請大家在看完我們推送的文章之后點擊一下右下角的“在看”，貢獻一個閱讀量哦，您的支持，是我堅持的動力，感謝大家的一路相伴，我是佑佑小哥哥,下期推文更精彩?。。?/span>

喜歡就點個在看再走吧