log4j2.17.1发布:别急,让2.17.0再飞一会儿!
就在2.17.0发布过去一周,2.17.1又来了,官方发版截图如下!最近因为安全问题,log4j2一连发布数个版本,这节奏简直可以吊打去年的fastjson了:
但是,请不要惊慌!不用被信息轰炸!不要急着紧急版本升级!抽根烟,压压惊,没什么大不了!
让我们分析一下官方对这个漏洞的总结,原文如下所示,也就是说,需要攻击者能够控制log4j2的配置文件。这个条件就比较苛刻了。一般我们的应用都部署在服务器上,能修改配置文件的,除了运维同学,我想不到还有谁能做这个事情:
Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration.
再来看一下官方对这个安全漏洞的详细描述:
也就是说,到2.17.0的log4j2在面对RCE(即远程代码执行)攻击时都是脆弱的。但是只有当攻击者有权限修改logging的配置文件,然后将其修改为一个恶意的配置文件,并且用了带JNDI数据源的JDBC Appender来执行远程代码,才会对服务器有影响。
解决措施
所以,不要慌!不需要发布紧急版本,只需要随着就近的迭代升级log4j2即可,请千万不要发布紧急版本,不需要:
-
JDK请升级到2.3.2 -
JDK请升级到2.12.4 -
JDK8及以上请升级到2.17.1