最新消息!根据Log4j官网发布,2.17.0版本还存在漏洞!
原创大约 1 分钟
本以为,经过上周的2.16.0版本升级,Log4j2的漏洞修复工作,大家基本都要告一段落了。
万万没想到,就在周末,Log4j官方又发布了新版本:2.17.0
该版本主要修复安全漏洞:CVE-2021-45105
原创大约 2 分钟
最近log4j2的核弹级漏洞席卷了大部分互联网公司,升级版本成了这两周的核心任务。对于要升级到什么版本,最新版本2.16.0是最佳选择。那么如何快速升级,之前也给出了Spring Boot项目升级版本的最简方法。
大家只需要使用这样的简单配置,就可以把log4j2一系列包的版本都升级了。
原创大约 3 分钟
昨天,Apache Log4j 团队再次发布了新版本:2.16.0!
2.16.0 更新内容
- 默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启
- 默认允许协议限制为:java、ldap、ldaps,并将ldap协议限制为仅可访问Java原始对象
- Message Lookups被完全移除,加固漏洞的防御
更多细节,可以通过官网查看:https://logging.apache.org/log4j/2.x/
原创小于 1 分钟
1、漏洞简介
Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
2、漏洞危害
漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
3、漏洞编号
暂无
4、影响范围
Apache Log4j 2.x <= 2.14.1
原创大约 1 分钟