Log4j 2.x 再爆雷

最近沸沸扬扬的 Log4j2 漏洞门事件炒得热火朝天，历经多次版本升级。。。

最新的版本为 Log4j 2.16.0，很多人以为 Log4j 2.16.0 只是默认禁用 JNDI 功能和移除消息的 Lookups 功能，只要自己不乱用升不升都无所谓，觉得这个版本不是必须的，以为只升级到 2.15.0 就万事大吉了，非也！

栈长又看到了最新 Log4j 核弹级漏洞动态：

关于 Log4j 2.x，现在强烈建议大家升级到 2.16.0 ！！！

因为，2.15.0 虽然解决了最严重的核弹级漏洞，但 2.15.0 的修复不完整，还存在允许攻击者执行拒绝服务攻击（DoS）漏洞，这个已经在最新的 2.16.0 中进行修复了。

2.15.0 虽然修复了一个核弹级漏洞，官方又新发现出来一个 DoS 攻击漏洞，貌似是新改出来的。。还在用 2.15.0 的赶紧升级吧，目前为止，2.16.0 才是最安全的版本！！

Java 7 对应的最新是 Log4j 2.12.2 版本。

如果你想关注和学习最新、最主流的 Java 技术，可以持续关注Java技术栈，第一时间推送。

受影响项目

如果你觉得只有 Apache Log4j 2.x 受影响，那就大错特错了，最近这两天，Apache 安全团队又公布了最新受影响的 Apache 项目，栈长做了一翻梳理：

居然有 18 个 Apache 项目受影响，大家伙看下，你们公司用了哪几个项目，赶紧修复！

总结

栈长稍微总结下:

1、Log4j 2.15.0 并不是最安全的最终版本，还存在 DoS 攻击漏洞，建议升级到 2.16.0；

2、Log4j 2.x 并不是特例，Apache 总共有 18 个项目中招，请自行检查修复；

果然是核弹级漏洞，大大小小版本搞了好些个了。。

这次应该是最后一次的修复版本了，大家有没有被折腾过多次的？

还在 2.15.0 版本的，大家伙再折腾一次吧。。。如果是内网项目，可以考虑无视！

如何下载、升级、修复，以及 Spring Boot 应对方案，可参考栈长之前分享的文章：

https://www.javastack.cn/article/2021/apache-log4j-2.16.0-released/

如果你想关注和学习最新、最主流的 Java 技术，可以持续关注Java技术栈，第一时间推送。

版权声明： 本文系公众号 "Java技术栈" 原创，原创实属不易，转载、引用本文内容请注明出处，抄袭者一律举报＋投诉，并保留追究其法律责任的权利。