我是靠谱客的博主 紧张招牌,最近开发中收集的这篇文章主要介绍log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson?让它再飞一会儿解决措施,觉得挺不错的,现在分享给大家,希望可以做个参考。
概述
就在2.17.0发布过去一周,2.17.1又来了,官方发版截图如下!最近因为安全问题,log4j2一连发布数个版本,这节奏简直可以吊打去年的fastjson了:
但是,请不要惊慌!不用被信息轰炸!不要急着紧急版本升级!抽根烟,压压惊,没什么大不了!
让我们分析一下官方对这个漏洞的总结,原文如下所示,也就是说,需要攻击者能够控制log4j2的配置文件。这个条件就比较苛刻了。一般我们的应用都部署在服务器上,能修改配置文件的,除了运维同学,我想不到还有谁能做这个事情:
再来看一下官方对这个安全漏洞的详细描述:
也就是说,到2.17.0的log4j2在面对RCE(即远程代码执行)攻击时都是脆弱的。但是只有当攻击者有权限修改logging的配置文件,然后将其修改为一个恶意的配置文件,并且用了带JNDI数据源的JDBC Appender来执行远程代码,才会对服务器有影响。
解决措施
所以,不要慌!不需要发布紧急版本,只需要随着就近的迭代升级log4j2即可,请千万不要发布紧急版本,不需要:
- JDK请升级到2.3.2
- JDK请升级到2.12.4
- JDK8及以上请升级到2.17.1
最后
以上就是紧张招牌为你收集整理的log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson?让它再飞一会儿解决措施的全部内容,希望文章能够帮你解决log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson?让它再飞一会儿解决措施所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复