炸了！Log4j2 再爆漏洞，v2.17.1 橫空出世。。。

Log4j 2.17.0 再爆雷

Log4j 1.x, Log4j 2.x, Logback 的漏洞剛告一段落，棧長本以為這件事可以在 Log4j v2.17.0 這個版本終結(jié)了，沒想到。。。

就在昨天，棧長打開公眾號，在《團滅！Log4j 1.x 也爆雷了。。。速速棄用！！》一文中，有小伙伴給棧長留言：

WC！又來漏洞？？？

棧長也去 Log4j2 官方驗證了下：

Log4j 又發(fā) v2.17.1 了，Log4j v2.17.0 又有遠程代碼執(zhí)行漏洞，加上本次的漏洞，這是 Log4j 2.x 近期爆發(fā)的第 5 個漏洞了：

• CVE-2021-44832（遠程代碼執(zhí)行漏洞）
• CVE-2021-45105（拒絕服務(wù)攻擊漏洞）
• CVE-2021-45046（遠程代碼執(zhí)行漏洞）
• CVE-2021-44228（遠程代碼執(zhí)行漏洞）
• 信息泄漏漏洞（安全公司 Praetorian 發(fā)現(xiàn)）

麻了，麻了，第 5 個了。。

趕緊來看看這次的漏洞是什么鬼！

CVE-2021-44832

攻擊者，如果有權(quán)限修改 Log4j2 的日志配置文件，就可以進行惡意配置構(gòu)建，即將 JDBC Appender 引用 JNDI URI 數(shù)據(jù)源，利用 JNDI URI 就可以執(zhí)行遠程代碼。

又是 JNDI 搞的鬼，JDNI 這到底是什么破玩意，有時間棧長再分享一篇，關(guān)注公眾號Java技術(shù)棧第一時間推送哦。

這個漏洞的級別和前段時間的《Logback 也爆雷了，驚爆了。。。》相似，都需要有日志配置文件的修改權(quán)限才能進行攻擊，所以這個漏洞不是很嚴重，但也不得不防。

最新安全版本：

結(jié)語

Log4j v2.17.1 這版本來得有點突然啊，前段時間的 Log4j v2.17.0 居然又有遠程代碼執(zhí)行漏洞，雖然嚴重程度不是很高，但出現(xiàn)漏洞就不得不防啊，大家趕緊升級保平安吧！

Log4j2 漏洞這段時間簡直殺瘋了，沒完沒了，現(xiàn)在還沒有看到熄火的節(jié)奏，啥時候是個頭啊。。。

Log4j2 漏洞的后續(xù)進展，棧長也會持續(xù)跟進，關(guān)注公眾號Java技術(shù)棧，公眾號第一時間推送。

版權(quán)聲明?。?！

本文系公眾號 "Java技術(shù)棧" 原創(chuàng)，轉(zhuǎn)載、引用本文內(nèi)容請注明出處，抄襲、洗稿一律投訴侵權(quán)，后果自負，并保留追究其法律責(zé)任的權(quán)利。