本以为,经过上周的2.16.0版本升级,Log4j2的漏洞修复工作,大家基本都要告一段落了 。
万万没想到,就在周末,Log4j官方又发布了新版本:2.17.0
文章插图
该版本主要修复安全漏洞:CVE-2021-45105
文章插图
影响版本:2.0-alpha1 至 2.16.0(1.x用户继续忽略)
该漏洞只有当日志配置使用带有Context Lookups的非默认 Pattern Layout(例如$${ctx:loginId})时,攻击者可以通过构造包含递归查找的恶意输入数据,触发无限循环,导致 StackOverflowError,最终进程崩溃 。
这次漏洞受影响的只有log4j-core,仅使用log4j-api的程序不需要担心 。所以,大家可以通过升级log4j-core来修复该漏洞的
<dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.17.0</version></dependency>当然,如果你是Spring Boot影响,按照之前一行配置搞定Spring Boot项目的 log4j2 核弹漏洞!分享的方法可以更方便的升级 。如果您正在学习Spring Boot,那么推荐一个连载多年还在继续更新的免费教程 。如果目前还不方便升级版本的话,也可以采用下面的两种方法来缓解此漏洞:
- 在日志配置的 PatternLayout 中,用 %X、%mdc 或 %MDC 来替换 ${ctx:loginId} 或$${ctx:loginId} 等Context Lookups
- 在使用外部数据(HTTP Header或用户输入等)的地方,删除对Context Lookups的引用(如 ${ctx:loginId} 或 $${ctx:loginId} )
欢迎关注我的公众号:程序猿DD,分享外面看不到的干货与思考!
- 春季老年人吃什么养肝?土豆、米饭换着吃
- 三八妇女节节日祝福分享 三八妇女节节日语录
- 老人谨慎!选好你的“第三只脚”
- 校方进行了深刻的反思 青岛一大学生坠亡校方整改校规
- 脸皮厚的人长寿!有这特征的老人最长寿
- 长寿秘诀:记住这10大妙招 100%增寿
- 春季老年人心血管病高发 3条保命要诀
- 眼睛花不花要看四十八 老年人怎样延缓老花眼
- 香槟然能防治老年痴呆症? 一天三杯它人到90不痴呆
- 老人手抖的原因 为什么老人手会抖