Log4j 2.3.1 發(fā)布！又是什么鬼？？

最近，Log4j2 的核彈級(jí)漏洞在技術(shù)圈進(jìn)行了幾波轟炸，這期間，有不斷加班升級(jí)修復(fù)的，有直接禁用 Lookups 功能的，還有直接換日志框架（Logback）的，好不熱鬧。。

說(shuō)說(shuō)，你們公司是哪一種呢？

棧長(zhǎng)每次修復(fù)完以為是可以歇歇了，結(jié)果沒想到每次都是史料未及，這次應(yīng)該在 Log4j v2.17.0 這個(gè)版本塵埃落定了，Spring Boot 也最終發(fā)布了漏洞解決版本：

終于！Spring Boot 最新版發(fā)布，一招解決 Log4j2 核彈級(jí)漏洞！

即使 Log4j2 的漏洞已經(jīng)告一段落，可 Log4j2 又發(fā)版了：

2021/12/22 最新發(fā)布，也就是棧長(zhǎng)寫文時(shí)間。

這個(gè) v2.12.3 和 v2.3.1 版本又是什么鬼？不會(huì)又在修復(fù)漏洞吧?。?/p>

棧長(zhǎng)又去官網(wǎng)驗(yàn)證了下，如圖：

確實(shí)是還在修復(fù)漏洞，不過(guò)還是之前的漏洞：CVE-2021-45105：

該漏洞已在Java 8+ 版本的 Log4j ?v2.17.0 中得到解決，這次修復(fù)的是分別是 Java 7 和 Java 6 的，修復(fù)的是不同的 JDK 版本的包而已！

還好，還好，有驚無(wú)險(xiǎn)，這次終于逃過(guò)一劫。。

總結(jié)一下：

如果把這次的版本更新也算進(jìn)來(lái)，Log4j2 漏洞一共經(jīng)歷了 15 天：

以 Java 8 漏洞為例，一共歷經(jīng) 3 個(gè)正式版本，5 個(gè)候選版本，共修復(fù)了 4 個(gè)漏洞：

• CVE-2021-45105（拒絕服務(wù)攻擊漏洞）
• CVE-2021-45046（遠(yuǎn)程代碼執(zhí)行漏洞）
• CVE-2021-44228（遠(yuǎn)程代碼執(zhí)行漏洞）
• 信息泄漏漏洞（安全公司 Praetorian 發(fā)現(xiàn)）

最新 JDK 版本對(duì)應(yīng)的 Log4j2 版本如下：

最終解決方案：

終于！Spring Boot 最新版發(fā)布，一招解決 Log4j2 核彈級(jí)漏洞！

這次應(yīng)該可以完美落幕了吧？再來(lái)就要?dú)偭??！?/p>

Log4j2 漏洞的后續(xù)進(jìn)展，棧長(zhǎng)也會(huì)持續(xù)跟進(jìn)，關(guān)注公眾號(hào)Java技術(shù)棧，公眾號(hào)第一時(shí)間推送。

版權(quán)聲明?。。?/strong>

本文系公眾號(hào) "Java技術(shù)棧" 原創(chuàng)，轉(zhuǎn)載、引用本文內(nèi)容請(qǐng)注明出處，抄襲、洗稿一律投訴侵權(quán)，后果自負(fù)，并保留追究其法律責(zé)任的權(quán)利。

獲取 Spring Boot 實(shí)戰(zhàn)筆記！