log4j 引发的安全震荡,jdk 7的使用者如何安然处之

2021年12月10日,产品经理找到我说,log4j 有重大安全隐患,云云:

慌得一批。还好,有临时应对手法,于是依样画葫芦,先改配置,重启系统,对付过去了。

到了昨天(12月14日)上午,准备彻底解决这个事项。于是上官网,下载当时最新的版本 2.15.0 的版本,更新到项目中。测试OK。于是正式发版。结果到了今天,测试反馈说,不行。使用新版本的jar 包,业务根本起不来,报错:

十二月 15, 2021 4:16:33 下午 org.apache.catalina.core.StandardContext start
严重: Error listenerStart

一脸懵。自己开发环境测试,没重现。捣鼓到天黑,才发现,原来我开发环境用的是jdk 1.8,而项目上用的是 jdk 1.7。

整了半天,最后到官网上一看,才明白,原来 log4j 的 2.12.X 系列是支持 jdk 1.7的最后版本,而2.15.X 系列是要求 jdk 1.8,因此 在 jdk 1.7的运行环境加载 jdk 1.8下编译的jar 包,会跳出以下错误:

Unsupported major.minor version 52.0

这个错误导致 log4j 本身没有加载成功,继而引发了 前面 Error listenerStart 的错误。

幸运的是,原本log4 开发团队已经停止对 jdk 7的支持了,但是由于这个最新漏洞实在是影响太大,所以昨天晚上,开发团队还是推出了 基于jdk 7的升级补丁。

以下是目前(北京时间 2021.12.15 20:50)官网首页的内容:

其中不仅提到关于jdk 7的版本支持,也提到了针对jdk 8的早前的 2.15.0版本并未彻底解决该漏洞,需要代之以2.16.0 版本。

官网上,对于 jdk 6, jdk 7,还提供了相关的入口:

其中针对 jdk 7的相关更新页面如下: 

可算找到组织了。下载链接如下:

Index of /dist/logging/log4j/2.12.2https://archive.apache.org/dist/logging/log4j/2.12.2/

真是火热出炉的代码,瞅瞅这个更新时间:

 好了,继续战战兢兢地使用 jdk 7下的 log4j 吧。

希望下回有重大安全问题的时候,开发团队仍能够大发慈悲,给与这个jdk 7的分支一点支持。

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页

打赏作者

musicwind

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值