背??景为了响应《突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!》,Log4j2连续发布了两个RC(ReleaseCandidate)候选版本和一个正式版本。在第一个RC1候选版本中,Log4j2仍然存在绕过漏洞的风险。官方随后发布了RC2,随后又发布了Log4j2.15.0正式版,可以在生产环境使用,正式解决了核弹杆漏洞。今天栈长打开了公众号Java技术栈,又有粉丝留言说2.16.0已经发布了!!堆垛机走过去一看:天啊!Log4j到底在做什么?这又制作了3个版本??2ReleaseCandidates,1Release:2.16.0是的,另一个版本Log4j2.16.0已经发布并准备好用于生产。.让我们看一下2.15.0-2.16.0两个版本中修复了什么。解决漏洞:CVE-2021-44228漏洞成因:Log4j2提供了一种Lookups机制,可以在日志中添加一些特殊的值。在Lookups机制中,由于JNDI功能不限制名称解析,一些协议不安全,可能允许远程代码执行,造成核弹级别的漏洞。2.15.0修复:1.Log4j2.15.0+现在默认限制协议只能是java、ldap和ldaps,并且限制访问ldap协议。默认情况下,只允许本地服务器上的Java原始对象。2.Log4j2.15.0+现在默认禁用Lookups功能。虽然Log4j2.x并没有完全废除这个功能,但是强烈建议不要开启。2.16.0修复:1.默认禁用JNDI功能。2.去除消息的查找功能。综上所述,2.15.0默认只限制和禁用危险功能,而2.16.0是无情的,可以直接杀掉。2.16.0这个更新也是很有必要的。直接把未知风险扼杀,把未知风险扼杀在摇篮里。会造成漏洞。果然是核弹级别的漏洞,还做了很多大大小小的版本。.这应该是最后修复的版本了吧?你被折腾过很多次吗?所以,必要的时候,你可能还要再折腾一次。..如何下载、升级、修复、SpringBoot解决方案,请参考栈长分享的文章:最新!重发版Log4j2.x官方解决了核弹级漏洞,又要熬夜了。..ApacheLog4j存在核弹级漏洞,SpringBoot默认的日志框架可以完美躲过!!爆裂!ApacheLog4j2报告核弹级漏洞。.快点修好!!如果你想关注和学习最新最主流的Java技术,可以持续关注公众号Java技术栈,公众号会第一时间推送。好了,今天的分享就到这里,栈长后续会继续跟进。我也整理了主流的Java面试题和参考答案,在公众号后台回复关键词“面试”刷题。版权声明:本文为公众号《Java技术栈》原创。原创并不容易。转载或引用本文内容请注明出处。所有抄袭者将举报+投诉,并保留追究其法律责任的权利。近期热点文章推荐:1.1000+Java面试题及答案(2021最新版)2.厉害了!Java协程来了。..3.最新!重发版Log4j2.x官方解决了核弹级漏洞,又要熬夜了。..4、SpringBoot2.6正式发布,一大波新特性。.5.《Java开发手册(嵩山版)》最新发布,赶快下载吧!感觉不错,别忘了点赞+转发!
