緊急！Log4j2 再再爆雷:剛升級，又連爆 “核彈級” 遠程數(shù)據(jù)泄露 ! v2.17.0 橫空出世。。。

上一篇：程序員裸辭全職接單一個月的感觸
最近的 Log4j2 漏洞想必大家都知道了，11月9日晚開源項目 Apache Log4j 2 的一個遠程代碼執(zhí)行漏洞的利用細節(jié)被公開，隨著 Apache Log4j 2.15.0 正式版發(fā)布，該漏洞已得到解決。


然而，安全公司 Praetorian 在博客宣布，他們在 Apache Log4j 2.15.0 版本又發(fā)現(xiàn)了一個遠程數(shù)據(jù)泄露的漏洞，可用于從受影響的服務器下載數(shù)據(jù)。

幾乎只要是 Java 程序員，幾乎都會用到 Apache Log4j 這個組件。就在上周的時候 Log4j 爆出了一個史詩級別的 Bug。
由于 Apache Log4j 2 某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。
于是 Log4j 緊急升級了一個版本 2.15.0，讓大家升級到此版本來解決這個問題。。
再爆雷
當天多少個程序員，加班再改 Bug，但是沒過幾天，官網(wǎng)又緊急更新了一個版本 2.16.0。搜索公眾號互聯(lián)網(wǎng)架構(gòu)師回復“2T”，送你一份驚喜禮包。
因為，2.15.0?雖然解決了最嚴重的核彈級漏洞，但?2.15.0?的修復不完整，還存在允許攻擊者執(zhí)行拒絕服務攻擊（DoS）漏洞，這個已經(jīng)在最新的?2.16.0?中進行修復了。
2.15.0?雖然修復了一個核彈級漏洞，官方又新發(fā)現(xiàn)出來一個 DoS 攻擊漏洞。。。
然后一堆程序員，又趕緊跟著該代碼升級，都以為這是最后一次更新了，結(jié)果。。。
Apache Log4j2 是一款優(yōu)秀的 Java 日志框架。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務系統(tǒng)開發(fā)，用來記錄日志信息。大多數(shù)情況下，開發(fā)者可能會將用戶輸入導致的錯誤信息寫入日志中。


Praetorian 表示，他們已將該問題的技術細節(jié)傳遞給 Apache 基金會，但在此期間，Praetorian 強烈建議用戶盡快升級到 2.16.0。

Praetorian 將實行負責任的披露，因此目前不會公開分享技術細節(jié)，以免出現(xiàn)更大的問題。



修正錯誤

LOG4J2-3208：默認禁用 JNDI。需要 設置為 以允許 JNDI。LOG4J2-3211：完全刪除對消息查找的支持。

Apache Log4j 2.16.0 至少需要 Java 8 才能構(gòu)建和運行。Log4j 2.12.1 是最后一個支持 Java 7 的版本。Java 7 不是Log4j 團隊的長期支持版本。

再再爆雷

這周末，可能很多程序員忙著升級 Log4j 到2.16版，不過他們可能又白忙活了。
因為Apache軟體基金會又釋出了Log4j 2.17.0版來修補新的阻斷服務（Denial of Service，DoS）漏洞。搜索公眾號互聯(lián)網(wǎng)架構(gòu)師回復“2T”，送你一份驚喜禮包。
The Log4j team has been made aware of a security vulnerability, CVE-2021-45105, that has been addressed in Log4j 2.17.0 for Java 8 and up.

Log4j 團隊已獲悉一個安全漏洞 CVE-2021-45105，該漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解決。
上周一釋出的Apache Log4j 2.16.0版是為了修補早先發(fā)現(xiàn)的漏洞。
該漏洞被列為CVE-2021-45046，允許攻擊者輸入Log4j2 ThreadContext Map（MDC）資料時、使用非預設的Patten Layout改造成惡意查詢輸入。
2.16.0還釋出不到一周，又被安全研究人員揭露有新漏洞，且是新的DoS漏洞。
新漏洞編號CVE-2021-45105，Apache說明在具有Thread Context Map查詢的變項中，以StrSubstitutor class${${::-${::-$${::-j}}}}代入，造成無限遞迴（infinite recursion），引發(fā)應用程式當?shù)簟?/span>
于是?Log4j 2.17.0 橫空出世。。。
可能上周 Log4j 爆出問題之后，開發(fā)人員也很慌，在很短的時間內(nèi)，先把優(yōu)先級最高的 Bug 解決發(fā)出來。
在這兩天不斷研究中，又發(fā)現(xiàn)了很多問題，于是又又緊急的更新了一個又一個版本來解決問題。
最新 Maven 依賴：

????org.apache.logging.log4j
????log4j-core
????2.17.0
有關 Apache Log4j 2 的完整信息，包括有關如何提交錯誤報告、補丁或改進建議，

請參閱 Apache Apache Log4j 2 網(wǎng)站：https://logging.apache.org/log4j/2.x
相關閱讀：2T架構(gòu)師學習資料干貨分享