log4j2 的漏洞大家今天晚上修复吗?

2021-12-10 00:16:50 +08:00
 Jooooooooo

没想到继 fastjson 之后还有这一出.

15150 次点击
所在节点    程序员
82 条回复
xbchaonba
2021-12-10 14:34:36 +08:00
苹果云应为这个漏洞被搞了吗,一直登录不了
matepi
2021-12-10 14:35:01 +08:00
@play78 ldap 只是一种利用手段的演示而已,rmi 的方法多了去了
sha851092391
2021-12-10 14:37:06 +08:00
快速验证是否有这个问题: https://issues.apache.org/jira/browse/LOG4J2-3202
修复措施:直接升级到 2.15.0 版本
临时修复措施: 增加 log4j2.component.properties 配置文件,配置为 log4j2.formatMsgNoLookups=true
yiywain
2021-12-10 14:45:18 +08:00
没有过哎
janda
2021-12-10 14:52:54 +08:00
用的 springboot 、也看了 mvn 仓库没有、这个咋更新
```pom
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-log4j2</artifactId>
</dependency>
```
ivancai
2021-12-10 14:56:39 +08:00
是 log4j2 有问题还是 log4j 都有这个问题?
NULL2020
2021-12-10 15:02:25 +08:00
没人说说刚发布的版本怎么编译打包吗?
wbd31
2021-12-10 15:07:22 +08:00
@sha851092391 log4j2.formatMsgNoLookups 这个配置只有在 2.10.0 之后的版本才生效。
sshang
2021-12-10 15:10:55 +08:00
@ivancai log4j2 就是 log4j 的 2.x 版本,artifact 就是 log4j
sagaxu
2021-12-10 15:31:57 +08:00
官方真急了,禁用了这个功能,把开关都去掉了,官网文档也找不到这个配置项了
issakchill
2021-12-10 16:11:28 +08:00
@NULL2020 我先用着 2.15.0 顶着 aliyun 库有
pocketz
2021-12-10 16:15:04 +08:00
windrun
2021-12-10 16:27:16 +08:00
janda
2021-12-10 16:31:59 +08:00
@janda
maven 更新:

<!--Log4j-->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.15.0</version>
</dependency>
deadofpeople
2021-12-10 16:35:12 +08:00
官网的 2.15.0 是 RC2 版本么
NULL2020
2021-12-10 16:36:13 +08:00
@pocketz #52 没用,报错


@issakchill #51 我在阿里仓库网站上能搜索到,但 idea 下载不了
VIVVACI
2021-12-10 16:41:12 +08:00
@adamwhite 日志可不能随便关啊,出了问题日志是 debug 的最重要的依据之一,不能因噎废食
jamzhou
2021-12-10 17:08:50 +08:00
确定 log4j-api 也受影响吗,我这边通过尝试构建攻击参数,并未能复现注入攻击。
而 2.14.1 上,的确可以让记录日志的时候,注入远程执行。
BigDogWang
2021-12-10 18:03:12 +08:00
1.7 版本没事吧
a594195609
2021-12-10 18:05:26 +08:00
@NULL2020 你看错了吧?阿里云仓库里目前能搜得到的是非官方的,groupId 不一样的,大小都差很远,不敢用。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821217

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX