Log4j 2.3.1 发布!又是什么鬼??

最新推荐文章于 2024-09-27 00:45:01 发布
最新推荐文章于 2024-09-27 00:45:01 发布
阅读量155 收藏
点赞数
文章标签: java bug 编程语言 人工智能 jdk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youanyyou/article/details/122138100
版权

点击关注公众号,Java干货及时送达8bf7294f979042f77f8998269ade1726.png

最近,Log4j2 的核弹级漏洞在技术圈进行了几波轰炸,这期间,有不断加班升级修复的,有直接禁用 Lookups 功能的,还有直接换日志框架(Logback)的,好不热闹。。

说说,你们公司是哪一种呢?

栈长每次修复完以为是可以歇歇了,结果没想到每次都是史料未及,这次应该在 Log4j v2.17.0 这个版本尘埃落定了,Spring Boot 也最终发布了漏洞解决版本:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

即使 Log4j2 的漏洞已经告一段落,可 Log4j2 又发版了:

e63c6abef223a5b239e25e36c22c4e52.png

2021/12/22 最新发布,也就是栈长写文时间。

这个 v2.12.3 和 v2.3.1 版本又是什么鬼?不会又在修复漏洞吧!!

栈长又去官网验证了下,如图:

35fce18edbfe1f990e23ba2d8931c7ed.png

确实是还在修复漏洞,不过还是之前的漏洞:CVE-2021-45105

CVE-2021-45105拒绝服务攻击漏洞
安全等级
影响版本Log4j2 2.0-alpha1 到 2.16.0

该漏洞已在Java 8+ 版本的 Log4j  v2.17.0 中得到解决,这次修复的是分别是 Java 7 和 Java 6 的,修复的是不同的 JDK 版本的包而已!

还好,还好,有惊无险,这次终于逃过一劫。。

总结一下:

如果把这次的版本更新也算进来,Log4j2 漏洞一共经历了 15 天:

1ad3e4eee0576664a31f3c81a7620f30.png

以 Java 8 漏洞为例,一共历经 3 个正式版本5 个候选版本,共修复了 4 个漏洞:

  • CVE-2021-45105(拒绝服务攻击漏洞)

  • CVE-2021-45046(远程代码执行漏洞)

  • CVE-2021-44228(远程代码执行漏洞)

  • 信息泄漏漏洞(安全公司 Praetorian 发现)

最新 JDK 版本对应的 Log4j2 版本如下:

JDK 版本Log4j2 版本
Java 8+v2.17.0
Java 7v2.12.3
Java 6v2.3.1

最终解决方案:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

这次应该可以完美落幕了吧?再来就要杀疯了。。

Log4j2 漏洞的后续进展,栈长也会持续跟进,关注公众号Java技术栈,公众号第一时间推送。

版权声明!!!

本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。

d59a97c4da708bbd57081f4cc7f22871.gif

23 种设计模式实战(很全)

重磅官宣:Redis 对象映射框架来了!!

劲爆!Java 协程要来了。。。

JetBrains 发布下一代 IDE,IDEA 可以扔了

重磅!JDK 17 发布,正式免费。。

面试官:Java 8 map 和 flatMap 的区别?

终于!Spring Cloud 2021 正式发布。。

推荐一款代码神器,代码量至少省一半!

程序员精通各种技术体系,45岁求职难!

重磅!Spring Boot 2.6 正式发布

Spring Boot 学习笔记,这个太全了!

关注Java技术栈看更多干货

9dfc6b196dc167f959d2c7ac72b1b86a.png

0fd031f7590110ac6225010bba034b2a.gif

获取 Spring Boot 实战笔记!

Java技术栈
关注
Apache Log4j2漏洞
Mr.xing的博客
11-13 832
Log4j2是一个Java日志组件,被各类Java框架广泛使用,它的前身是Log4jLog4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jar包log4j-${版本号}.jar。Log4j2分为2个jar包,一个是接口log4j-api-${版本号}.jar,一个是具体实现log4j-core-${版本号}.jar。Log4j2版本号目前均为2.x。Log4j版本号均为1.x。
Spring Boot入门(21):轻松搞定日志记录!Spring Boot入门之Log4j2整合及配置详解
**My Coding Family**
08-26 1671
Spring Boot如何整合Log4j2日志框架,一文带你吃透它。
Log4jForAndroid
03-22
Android开发的日记打印工具类Log4jForAndroid和LogUtil
该让log4j退休了 - 论Java日志组件的选择
joenqc的博客
07-04 403
1. 日志异步化,使用日志缓存,满了之后再进行IO操作刷到磁盘中。 2. slf4j使用 桥接模式 和适配器模式。桥接模式解决了一些项目或框架中,由于一些原因无法将jcl(commons logging)直接替换掉的问题,提供桥接jar包,将日志桥接到slf4j上;适配器模式,或者说门面模式(Facade),slf4j是一个“日志门面”(Logging Facade),而不是一个完整的日
JAVA - 优雅的记录日志(log4j实战篇) (转)
weixin_33951761的博客
05-03 82
写在前面 项目开发中,记录错误日志有以下好处: 方便调试 便于发现系统运行过程中的错误 存储业务数据,便于后期分析 在java中,记录日志有很多种方式: 自己实现     自己写类,将日志数据,以io操作方式,写数据到文本文件、数据库中。 使用log4j     log4j可以将日志输出到console窗口、文本文件、数据库等,功能强大! 使...
log4j配置及详解
sunliangabc的专栏
10-11 1193
一、搭配环境_主要介绍下载jar包与配置基本环境 1,下载log4j的jar包:http://logging.apache.org/log4j/1.2/download.html           2,新建java project项目。     3,解压log4j-1.2.17.zip文件,将其中log4j-1.2.17.jar添加到项目中,并添加到buildpath
Log4J2.3版本简单测试验证
lakegrass的专栏
08-06 3422
 Log4J2.3简介 Log4J2.3版本是老的Log4J的升级版本,修复了老版本的一些BUG,并在很多功能上进行优化和提升,增加了诸如异步等功能。具体可以参照Log4J2的apach网站说明,http://logging.apache.org/log4j/2.x/ 做了个简单的例子 下载当前最新版本Log4J2.3,然后解压。 创建Eclipse工程,并在工程classpath
apache-log4j-2.3-bin和commons-logging-1.2
04-17
开发者可以通过 Commons Logging 调用 Log4j,这样既能享受到Log4j的性能和功能,又能保持代码的可移植性。 总结来说,Apache Log4j 2.3 和 Commons Logging 1.2 在Java Web开发中扮演着重要角色,它们帮助开发者...
Log4j远程代码执行漏洞复现尝试
weixin_51194266的博客
06-29 637
log4j漏洞的简单复现
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
明哥的IT随笔
01-01 1128
大家好,我是明哥!近期 LOG4J 围绕JNDI的安全漏洞频繁暴雷,着实让小伙伴们忙活了一阵。本文我们就一起来看下,CDH/HDP/CDP 等大数据平台中如何快速应对 LOG4J 的 JN...
log4j2 -2.11.1.zip
12-17
log4j2-2.11.1版本下载。包含log4j-api-2.11.1.jar和log4j-core-2.11.1.jar两个文件
log4j-2.3.jar
04-24
log4j2.3 log4j2.6.2 log4j2.8.2 经典集中收藏,来围观
Log4j 2.3简易教程 - log4j2.xml
strongyoung的专栏
07-28 9013
通过简单的配置log4j2.xml文件,使用log4j日志功能。
SpringBoot2.3.1实现war方式打包运行及使用log4j2实现日志输出
u011930054的博客
06-19 1820
一、先说实现war打包方式及使用非内置Tomcat进行编写和调试 新建项目时建立war方式打包,步骤如下两个图 如上两个图中新建项目将打包方式选择成War。 如果是已经建立项目了,直接在pom.xml文件中将打包方式修改成war即可,如下图 上面的打包方式设置完成后,需要将tomcat的依赖从spring-boot-starter-web中排除,并将spring-boot-starter-tomcat的scope设置成provided,provide仅仅需要在编译和测试阶段,同样provide将不会被打包到
团灭!Log4j 1.x 也爆雷了。。。速速弃用!!
Java技术栈,分享最主流的Java技术
12-29 681
点击关注公众号,Java干货及时送达最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新漏洞动态:Log4j 2.3.1 发布!又...
Java实际项目开发中Log4j日志记录中的logger使用方式
cssnnd的博客
09-02 3127
Log4j背景介绍 Log4j是Apache的一个开源项目,使用Log4j,控制日志信息每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。 Log4j的三大组件 Log4j的三个组件 : 日志记录器(Logger),输出端(Appenders),日志格式化(Layout) Logger : 控制启动/禁用哪些日志记录语句,也可以对日志信息进行级别限制 Appenders : 指定日志将打印到控制台还是文件 Layout : 控制日志信息的显示格式 Log4j使用.
log4j2 不使用配置文件,动态生成logger对象
nba20071786的专栏
08-17 2642
大家平时使用Log4j一般都是在classpath下放置一个log4j的配置文件,比如log4j.xml,里面配置好Appenders和Loggers,但是前一阵想做某需求的时候,想要的效果是每一个任务都要有一个单独的日志文件记录下来,比如job.001.log,job.002.log这种,这种完全不能使用配置文件来设置。 整体架构: Log4j的组成: Log4j由三个重要的组成构成:
log4j2.pom
哎呀呀的博客
08-10 3373
javax.mail mail 1.4 javax.activation activation 1.1.1 org.apache.logging.log4j log4j-api ${log4j.vers
基于Hive和Hadoop的哔哩哔哩网站分析系统
最新发布
图南的博客
09-27 704
本项目是一个基于大数据技术的哔哩哔哩平台分析系统,旨在为用户提供全面的哔哩哔哩视频数据和深入的用户行为分析。系统采用 Hadoop 平台进行大规模数据存储和处理,利用 MapReduce 进行数据分析和处理,通过 Sqoop 实现数据的导入导出,以 Spark 为核心进行高效的数据处理。整个系统结合了大数据处理技术,为用户提供精准的内容推荐和深入的用户兴趣分析,帮助平台更好地了解视频趋势和用户需求。
xxl-job 2.3.1 自动注册注册不上 可能是什么问题
07-12
你好,关于xxl-job 2.3.1自动注册无法成功的问题,可能有以下几个原因: 1. 服务未启动:请确保xxl-job-admin服务已经成功启动,可以检查服务是否正常运行,并查看日志文件中是否有相关的错误信息。 2. 配置错误:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java技术栈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值