就在2.17.0发布过去一周，2.17.1又来了，官方发版截图如下！最近因为安全问题，log4j2一连发布数个版本，这节奏简直可以吊打去年的fastjson了：

但是，请不要惊慌！不用被信息轰炸！不要急着紧急版本升级！抽根烟，压压惊，没什么大不了！

让我们分析一下官方对这个漏洞的总结，原文如下所示，也就是说，需要攻击者能够控制log4j2的配置文件。这个条件就比较苛刻了。一般我们的应用都部署在服务器上，能修改配置文件的，除了运维同学，我想不到还有谁能做这个事情：

Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration.

再来看一下官方对这个安全漏洞的详细描述：

也就是说，到2.17.0的log4j2在面对RCE（即远程代码执行）攻击时都是脆弱的。但是只有当攻击者有权限修改logging的配置文件，然后将其修改为一个恶意的配置文件，并且用了带JNDI数据源的JDBC Appender来执行远程代码，才会对服务器有影响。

解决措施

所以，不要慌！不需要发布紧急版本，只需要随着就近的迭代升级log4j2即可，请千万不要发布紧急版本，不需要：

1. JDK请升级到2.3.2
2. JDK请升级到2.12.4
3. JDK8及以上请升级到2.17.1