Log4j2.17.0再爆Log4j1.x、Log4j2.x、Logback的漏洞刚刚告一段落。栈长原以为这件事可以在Log4jv2.17.0版本结束,没想到。..就在昨天,stackmanager打开公众号,在《团灭!Log4j 1.x 也爆雷了。。。速速弃用!!》一文中,有朋友给stackmanager留言:WC!另一个漏洞???栈长还去Log4j2官方验证:Log4jv2.17.1再次发布,Log4jv2.17.0存在远程代码执行漏洞。除了这个漏洞,这是Log4j2.x最近爆发的第五个漏洞:CVE-2021-44832(远程代码执行漏洞)CVE-2021-45105(拒绝服务攻击漏洞)CVE-2021-45046(远程代码执行漏洞)CVE-2021-44228(远程代码执行漏洞)信息泄露漏洞(安全公司Praetorian发现)麻木,麻木,5号。.让我们看看这个漏洞有什么问题!CVE-2021-44832CVE-2021-44832远程代码执行漏洞影响版本Log4j<=2.17.0的安全级别。具有修改Log4j2日志配置文件权限的攻击者可以进行恶意配置构建,即JDBCAppender引用JNDIURI数据源,利用JNDIURI可以执行远程代码。又是JNDI。JDNI是个什么鬼?有时间栈长再分享一篇。关注公众号Java技术栈第一时间推送。这个漏洞的级别和前段时间的《Logback 也爆雷了,惊爆了。。。》差不多,需要日志配置文件的修改权限才能攻击,所以这个漏洞不是很严重,但是一定要防范。最新安全版本:JDK版本Log4j2版本Java8+v2.17.1Java7v2.12.4Java6v2.3.2结论Log4jv2.17.1这个版本来的有点突然。前段时间,Log4jv2.17.0居然出现了一个远程代码执行漏洞,虽然严重程度不是很高,但是如果有漏洞,还是得防。大家请升级以保证安全!这段时间Log4j2的漏洞一直在发疯,没完没了。还没看到熄火的节奏。什么时候才出头。..Log4j2漏洞的后续进展,栈长会持续跟进,关注公众号Java技术栈,公众号会第一时间推送。版权声明!!!本文由公众号《Java技术栈》原创。转载、引用本文内容请注明出处。抄袭、洗稿均属侵权投诉,后果自负,并保留追究法律责任的权利。近期热点文章推荐:1.1000+Java面试题及答案(2022最新版)2.厉害了!Java协程来了。..3.SpringBoot2.x教程,太全面了!4、SpringBoot2.6正式发布,一大波新特性。.5.《Java开发手册(嵩山版)》最新发布,赶快下载吧!感觉不错,别忘了点赞+转发!
