Apache Log4j2 剛升級(jí)完，又出現(xiàn)漏洞！建議盡快升級(jí)到 2.16.0

點(diǎn)擊關(guān)注公眾號(hào)，Java干貨及時(shí)送達(dá)??

最近的 Log4j2 漏洞想必大家都知道了，11月9日晚開源項(xiàng)目 Apache Log4j 2 的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞的利用細(xì)節(jié)被公開，隨著 Apache Log4j 2.15.0 正式版發(fā)布，該漏洞已得到解決。

然而，安全公司 Praetorian 在博客宣布，他們?cè)?Apache Log4j 2.15.0 版本又發(fā)現(xiàn)了一個(gè)敏感數(shù)據(jù)泄露的漏洞，可用于從受影響的服務(wù)器下載數(shù)據(jù)。

Praetorian 表示，他們已將該問題的技術(shù)細(xì)節(jié)傳遞給 Apache 基金會(huì)，但在此期間，Praetorian 強(qiáng)烈建議用戶盡快升級(jí)到 2.16.0。

Praetorian 將實(shí)行負(fù)責(zé)任的披露，因此目前不會(huì)公開分享技術(shù)細(xì)節(jié)，以免出現(xiàn)更大的問題。

Apache Log4j2 是一款優(yōu)秀的 Java 日志框架。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。大多數(shù)情況下，開發(fā)者可能會(huì)將用戶輸入導(dǎo)致的錯(cuò)誤信息寫入日志中。