背??景为了响应《突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!》,Log4j2先后发布了两个RC(ReleaseCandidate)候选版本。在第一个RC1候选版本中,Log4j2仍然存在绕过漏洞的风险。官方随后发布了RC2,现在终于彻底解决了。2.15.0版本正式发布:折腾了两次?Log4j2.15.0正式版来了,可以在生产环境使用了,所以现在你可能又要折腾了。..解决漏洞:CVE-2021-44228漏洞成因:Log4j2提供了一种Lookups机制,可以在日志中添加一些特殊的值。在Lookups机制中,由于JNDI功能不限制名称解析,一些协议不安全,可能允许远程代码执行,造成核弹级别的漏洞。Fixes:1.Log4j2.15.0+现在默认限制协议只有java、ldap和ldaps,并且限制访问ldap协议。默认情况下,只允许本地服务器上的Java原始对象。2.Log4j2.15.0+现在默认禁用Lookups功能。虽然Log4j2.x并没有完全废除这个功能,但是强烈建议不要开启。新特性除了解决漏洞:CVE-2021-44228,Log4j2.15.0还新增了以下三个特性:支持仲裁器,可以有条件地启用包含或排除日志配置;支持JakartaEE9;大量的性能改进;下载升级到官方最新版本下载地址:https://logging.apache.org/lo...最新的Maven依赖:org.apache.logging.log4jlog4j-core2.15.0spring-boot-starter-log4j2还没有更新,可以先覆盖它内置的版本:2.15。0或者不用升级jar包,先用官方的解决方案参数先解决,参考:《突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!》,等SpringBoot出新版本然后更新它。我不会介绍SpringBoot的基础知识。推荐这个实用教程:https://github.com/javastacks...另外,SpringBoot也跟进了这个漏洞:SpringBootv2.5.8&v2.6.2将使用Log4Jv2。15.0版本,jieshi可以解决这个漏洞。新版本发布的时候,预计是2021年12月23日,stackmanager会为大家讲解。公众号Java技术栈会第一时间推送,不要走丢。综上,Log4j2.15.0转正,正式版发布。解决了CVE-2021-44228漏洞,新增3个特性。再折腾。.如果你用的是SpringBoot,可以等本月23号的新版本。不过,为了解决这个漏洞,升级??到最新的SpringBoot版本,这个值得讨论,对大多数人来说可能不是最好的选择。好了,今天的分享就到这里。稍后栈长会分享更多有趣的Java技术和最新的技术资料。关注公众号Java技术栈第一时间推送。我也会分享主流的Java面试题和参考答案。全部搞定后,在公众号后台回复关键字“面试”刷题。版权声明:本文为公众号《Java技术栈》原创,原创不易,转载或引用本文内容请注明出处,抄袭者一律举报+投诉,并保留追究权利法律责任。近期热点文章推荐:1.1,000+Java面试题及答案(2021最新版)2.别在满屏的if/else中,试试策略模式,真的很好吃!!3.操!Java中xx≠null的新语法是什么?4、SpringBoot2.6正式发布,一大波新特性。.5.《Java开发手册(嵩山版)》最新发布,赶快下载吧!感觉不错,别忘了点赞+转发!
