Log4j 2.3.1 發(fā)布！又是什么鬼？？

最近，Log4j2 的核彈級漏洞在技術(shù)圈進行了幾波轟炸，這期間，有不斷加班升級修復的，有直接禁用 Lookups 功能的，還有直接換日志框架（Logback）的，好不熱鬧。。

說說，你們公司是哪一種呢？

棧長每次修復完以為是可以歇歇了，結(jié)果沒想到每次都是史料未及，這次應該在 Log4j v2.17.0 這個版本塵埃落定了，Spring Boot 也最終發(fā)布了漏洞解決版本：

終于！Spring Boot 最新版發(fā)布，一招解決 Log4j2 核彈級漏洞！

即使 Log4j2 的漏洞已經(jīng)告一段落，可 Log4j2 又發(fā)版了：

2021/12/22 最新發(fā)布，也就是棧長寫文時間。

這個 v2.12.3 和 v2.3.1 版本又是什么鬼？不會又在修復漏洞吧??！

棧長又去官網(wǎng)驗證了下，如圖：

確實是還在修復漏洞，不過還是之前的漏洞：CVE-2021-45105：

該漏洞已在Java 8+ 版本的 Log4j ?v2.17.0 中得到解決，這次修復的是分別是 Java 7 和 Java 6 的，修復的是不同的 JDK 版本的包而已！

還好，還好，有驚無險，這次終于逃過一劫。。

總結(jié)一下：

如果把這次的版本更新也算進來，Log4j2 漏洞一共經(jīng)歷了 15 天：

以 Java 8 漏洞為例，一共歷經(jīng) 3 個正式版本，5 個候選版本，共修復了 4 個漏洞：

• CVE-2021-45105（拒絕服務攻擊漏洞）
• CVE-2021-45046（遠程代碼執(zhí)行漏洞）
• CVE-2021-44228（遠程代碼執(zhí)行漏洞）
• 信息泄漏漏洞（安全公司 Praetorian 發(fā)現(xiàn)）

最新 JDK 版本對應的 Log4j2 版本如下：

最終解決方案：

終于！Spring Boot 最新版發(fā)布，一招解決 Log4j2 核彈級漏洞！

這次應該可以完美落幕了吧？再來就要殺瘋了。。

Log4j2 漏洞的后續(xù)進展，棧長也會持續(xù)跟進，關(guān)注公眾號Java技術(shù)棧，公眾號第一時間推送。

版權(quán)聲明?。?！

本文系公眾號 "Java技術(shù)棧" 原創(chuàng)，轉(zhuǎn)載、引用本文內(nèi)容請注明出處，抄襲、洗稿一律投訴侵權(quán)，后果自負，并保留追究其法律責任的權(quán)利。

獲取 Spring Boot 實戰(zhàn)筆記！