vlambda博客
学习文章列表

log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson了!让它再飞一会儿

就在2.17.0发布过去一周,2.17.1又来了,官方发版截图如下!最近因为安全问题,log4j2一连发布数个版本,这节奏简直可以吊打去年的fastjson了:

但是,请不要惊慌!不用被信息轰炸!不要急着紧急版本升级!抽根烟,压压惊,没什么大不了!

让我们分析一下官方对这个漏洞的总结,原文如下所示,也就是说,需要攻击者能够控制log4j2的配置文件。这个条件就比较苛刻了。一般我们的应用都部署在服务器上,能修改配置文件的,除了运维同学,我想不到还有谁能做这个事情log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson了!让它再飞一会儿

Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration.

再来看一下官方对这个安全漏洞的详细描述:

log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson了!让它再飞一会儿

也就是说,到2.17.0的log4j2在面对RCE(即远程代码执行)攻击时都是脆弱的。但是只有当攻击者有权限修改logging的配置文件,然后将其修改为一个恶意的配置文件,并且用了带JNDI数据源的JDBC Appender来执行远程代码,才会对服务器有影响。

解决措施

所以,不要慌!不需要发布紧急版本,只需要随着就近的迭代升级log4j2即可,请千万不要发布紧急版本,不需要:

  1. JDK请升级到2.3.2
  2. JDK请升级到2.12.4
  3. JDK8及以上请升级到2.17.1





  
    
    
  
最近面试BAT,整理一份面试资料 Java面试BAT通关手册》 ,覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。