Log4J 2.16.0版本又爆新漏洞

banq發表於2021-12-18

上週log4j漏洞的最終方案是升級到2.16.0版本,但是週五又爆新漏洞,按照傳統:研究人員發現 Log4J 2.16 版透過“${$ {::-${::-$${::-j}}}} ”容易受到 DoS 攻擊。
如果出於任何原因嘗試在以上字串,它將觸發無限遞迴,應用程式將崩潰。
點標題見原文
補充:建議升級到2.17.0:https://logging.apache.org/log4j/2.x/download.html

相關文章