Log4j 2.17.0 再爆雷
Log4j 1.x, Log4j 2.x, Logback 的漏洞刚告一段落,栈长本以为这件事可以在 Log4j v2.17.0 这个版本终结了,没想到。。。
就在昨天,栈长打开公众号,在《团灭!Log4j 1.x 也爆雷了。。。速速弃用!!》一文中,有小伙伴给栈长留言:
文章图片
WC!又来漏洞???
栈长也去 Log4j2 官方验证了下:
文章图片
文章图片
【炸了!Log4j2 再爆漏洞,v2.17.1 横空出世。。。】Log4j 又发 v2.17.1 了,Log4j v2.17.0 又有远程代码执行漏洞,加上本次的漏洞,这是 Log4j 2.x 近期爆发的第 5 个漏洞了:
- CVE-2021-44832(远程代码执行漏洞)
- CVE-2021-45105(拒绝服务攻击漏洞)
- CVE-2021-45046(远程代码执行漏洞)
- CVE-2021-44228(远程代码执行漏洞)
- 信息泄漏漏洞(安全公司 Praetorian 发现)
赶紧来看看这次的漏洞是什么鬼!
CVE-2021-44832
CVE-2021-44832 | 远程代码执行漏洞 |
---|---|
安全等级 | 中 |
影响版本 | Log4j <= 2.17.0 |
又是 JNDI 搞的鬼,JDNI 这到底是什么破玩意,有时间栈长再分享一篇,关注公众号Java技术栈第一时间推送哦。
这个漏洞的级别和前段时间的《Logback 也爆雷了,惊爆了。。。》相似,都需要有日志配置文件的修改权限才能进行攻击,所以这个漏洞不是很严重,但也不得不防。
最新安全版本:
JDK 版本 | Log4j2 版本 |
---|---|
Java 8+ | v2.17.1 |
Java 7 | v2.12.4 |
Java 6 | v2.3.2 |
Log4j2 漏洞这段时间简直杀疯了,没完没了,现在还没有看到熄火的节奏,啥时候是个头啊。。。
Log4j2 漏洞的后续进展,栈长也会持续跟进,关注公众号Java技术栈,公众号第一时间推送。
版权声明!!!近期热文推荐:
本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。
1.1,000+ 道 Java面试题及答案整理(2022最新版)
2.劲爆!Java 协程要来了。。。
3.Spring Boot 2.x 教程,太全了!
4.Spring Boot 2.6 正式发布,一大波新特性。。
5.《Java开发手册(嵩山版)》最新发布,速速下载!
觉得不错,别忘了随手点赞+转发哦!
推荐阅读
- Java|Java基础——数组
- 人工智能|干货!人体姿态估计与运动预测
- java简介|Java是什么(Java能用来干什么?)
- Java|规范的打印日志
- Linux|109 个实用 shell 脚本
- 程序员|【高级Java架构师系统学习】毕业一年萌新的Java大厂面经,最新整理
- Spring注解驱动第十讲--@Autowired使用
- SqlServer|sql server的UPDLOCK、HOLDLOCK试验
- jvm|【JVM】JVM08(java内存模型解析[JMM])
- 技术|为参加2021年蓝桥杯Java软件开发大学B组细心整理常见基础知识、搜索和常用算法解析例题(持续更新...)