玩大了,Log4j 2.x 再爆雷。。。

简介: 最近沸沸扬扬的 Log4j2 漏洞门事件炒得热火朝天,历经多次版本升级。。。

Log4j 2.x 再爆雷

最近沸沸扬扬的 Log4j2 漏洞门事件炒得热火朝天,历经多次版本升级。。。


最新的版本为 Log4j 2.16.0,很多人以为 Log4j 2.16.0 只是默认禁用 JNDI 功能和移除消息的 Lookups 功能,只要自己不乱用升不升都无所谓,觉得这个版本不是必须的,以为只升级到 2.15.0 就万事大吉了,非也!


栈长又看到了最新 Log4j 核弹级漏洞动态:


image.png


关于 Log4j 2.x,现在强烈建议大家升级到 2.16.0 !!!


因为,2.15.0 虽然解决了最严重的核弹级漏洞,但 2.15.0 的修复不完整,还存在允许攻击者执行拒绝服务攻击(DoS)漏洞,这个已经在最新的 2.16.0 中进行修复了。


2.15.0 虽然修复了一个核弹级漏洞,官方又新发现出来一个 DoS 攻击漏洞,貌似是新改出来的。。还在用 2.15.0 的赶紧升级吧,目前为止,2.16.0 才是最安全的版本!!


Java 7 对应的最新是 Log4j 2.12.2 版本。


如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。


受影响项目

如果你觉得只有 Apache Log4j 2.x 受影响,那就大错特错了,最近这两天,Apache 安全团队又公布了最新受影响的 Apache 项目,栈长做了一翻梳理:

image.png

居然有 18 个 Apache 项目受影响,大家伙看下,你们公司用了哪几个项目,赶紧修复!


总结

栈长稍微总结下:


1、Log4j 2.15.0 并不是最安全的最终版本,还存在 DoS 攻击漏洞,建议升级到 2.16.0;


2、Log4j 2.x 并不是特例,Apache 总共有 18 个项目中招,请自行检查修复;


果然是核弹级漏洞,大大小小版本搞了好些个了。。


这次应该是最后一次的修复版本了,大家有没有被折腾过多次的?


还在 2.15.0 版本的,大家伙再折腾一次吧。。。如果是内网项目,可以考虑无视!


如何下载、升级、修复,以及 Spring Boot 应对方案,可参考栈长之前分享的文章:


1214 最新!Log4j 再发版,彻底斩断核弹级漏洞,又要熬夜了。。。

最新!Log4j 2.x 再发版,正式解决核弹级漏洞,又要熬夜了。。。

Apache Log4j 爆核弹级漏洞,Spring Boot 默认日志框架就能完美躲过!!

突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!



相关文章
|
22天前
|
Linux 程序员 数据格式
【2026最新】Notepad++下载、安装和使用一篇搞定(附中文版安装包)
Notepad++ 是一款免费开源、轻量高效的 Windows 文本编辑器,支持 C/Python/HTML 等 80+ 语言语法高亮、代码折叠、正则替换、编码转换及插件扩展,专为程序员与文本处理用户打造,完美替代系统记事本。(239字)
|
8天前
|
人工智能 缓存 安全
Claude Code 封号真实原因曝光,这次彻底不装了,直接针对国内开发者的账号下手?
Claude Code 封号潮背后:逆向扒出客户端隐写区域标记,Anthropic 政策收紧叠加 DeepSeek 7 月涨价,国产替代更紧迫。
|
13天前
|
人工智能 JSON 自然语言处理
让教学更智慧:用阿里云百炼工作流,自动生成中小学教材内容#小有可为#有温度的AI
通过可视化工作流编排,将大模型推理能力转化为标准化的教学内容生成引擎。教师只需输入教材标题和适用学段,即可自动获得结构完整、符合课程标准的章节内容,大幅降低备课门槛,助力教育资源均衡化。
496 127
|
17天前
|
存储 人工智能 监控
QoderWork完全指南:从入门到精通,把“AI实习生”变成你的全能工作搭档
阿里云2026年推出的桌面端AI工作助手QoderWork,不止聊天,更可动手干活:本地运行、安全可控,支持文件整理、数据分析、PPT生成、网页开发等;内置专家套件、多Agent协作与自定义Skills,让AI真正成为你身边的“AI实习生”。
|
8天前
|
人工智能 安全 程序员
终于,Claude Code 封号的原因被曝光了!竟然针对中国用户,植入隐形代码?!
通俗易懂地揭秘 Claude Code 封号的手段,分享一些自己对 AI 编程困境的思考,Codex、Cursor、DeepSeek、智谱 GLM、甚至是豆包,都有所行动了
464 1
|
9天前
|
人工智能 安全 Cloud Native
Higress 新发布:AI Gateway 能力增强,Gateway API 及其推理扩展持续打磨
增强 AI 网关能力,持续打磨 Gateway API 及其推理扩展。
393 125
|
6天前
|
人工智能 编解码 物联网
2026 最新Stable Diffusion 本地部署教程 下载安装使用详细图解(含官网安装包)
Stable Diffusion(SD)是2022年发布的开源文生图模型,由Stability AI等联合开发。支持文生图、图生图、局部重绘等,依托VAE降低算力需求,可在消费级显卡运行。本文提供秋葉aaaki制作的Windows整合包(含图形界面与插件),开箱即用,零配置启动。