本以為,經過上週的2.16.0版本升級,Log4j2的漏洞修復工作,大家基本都要告一段落了。
萬萬沒想到,就在週末,Log4j官方又釋出了新版本:2.17.0
該版本主要修復安全漏洞:CVE-2021-45105
影響版本:2.0-alpha1 至 2.16.0(1.x使用者繼續忽略)
該漏洞只有當日志配置使用帶有Context Lookups的非預設 Pattern Layout(例如$${ctx:loginId})時,攻擊者可以通過構造包含遞迴查詢的惡意輸入資料,觸發無限迴圈,導致 StackOverflowError,最終程式崩潰。
這次漏洞受影響的只有log4j-core,僅使用log4j-api的程式不需要擔心。所以,大家可以通過升級log4j-core來修復該漏洞的
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.0</version>
</dependency>當然,如果你是Spring Boot影響,按照之前一行配置搞定Spring Boot專案的 log4j2 核彈漏洞!分享的方法可以更方便的升級。如果您正在學習Spring Boot,那麼推薦一個連載多年還在繼續更新的免費教程。
如果目前還不方便升級版本的話,也可以採用下面的兩種方法來緩解此漏洞:
- 在日誌配置的 PatternLayout 中,用 %X、%mdc 或 %MDC 來替換 ${ctx:loginId} 或$${ctx:loginId} 等Context Lookups
- 在使用外部資料(HTTP Header或使用者輸入等)的地方,刪除對Context Lookups的引用(如 ${ctx:loginId} 或 $${ctx:loginId} )
好了,不多說了,大家抓緊自查下,做好必要的防護措施,爭取早點睡個好覺!
歡迎關注我的公眾號:程式猿DD,分享其他地方看不到的知識與思考