Apache Log4j2是一款Java日志框架,大量应用于业务系统开发。
在2021-12-13左右,Apache Log4j2 报了一个远程代码执行漏洞。
Apache Log4j2远程代码执行漏洞由Lookup功能引发。Log4j2在默认情况下会开启Lookup功能,用于将特殊值添加到日志中。此功能中也支持对JNDI的Lookup,但由于Lookup对于加载的JNDI内容未做任何限制,使得攻击者可以通过JNDI注入实现远程加载恶意类到应用中,从而造成RCE(远程代码执行)。
漏洞影响范围:Apache Log4j 2.x < 2.15.0-rc2
漏洞危险等级:高危
安全建议:
- 排查您的业务系统应用是否引入了Apache Log4j2 Jar包。如果存在依赖引入,则可能存在漏洞影响。请您升级Apache Log4j2所有相关应用到最新版本(log4j-2.15.0-rc2)。地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。
ORM框架Bee, 是否要更新相应框架的版本呢?
首先,Bee是一个不依赖于第三方框架的工具(也不依赖于某个日志框架)。若你的应用,有用到Log4j2, 只需要作相应的更新。 现在Log4j2 的版本,最新已更新到2.16.0
2.16.0版的Log4j2,要求jdk至少1.8. 已不再支持jdk1.7
Bee,互联网新时代的Java ORM框架,更快、更简单、更自动,开发速度快,运行快,更智能!
性能好:接近JDBC的速度;文件小,仅310k。