没完没了！Log4j再爆新雷，2.17.0来了

文 | 白开水不加糖

出品 | OSC开源社区&＃xff08;ID&＃xff1a;oschina2013&＃xff09;

Apache Log4j 2.17.0 版本已正式发布&＃xff0c;解决了被发现的第三个安全漏洞 CVE-2021-45105。

Apache Log4j2 版本 2.0-alpha1 到 2.16.0 没有防止 self-referential 查找的不受控制的递归。当日志配置使用非默认的 Pattern Layout 与 Context Lookup&＃xff08;例如&＃xff0c;$${ctx:loginId}&＃xff09;时&＃xff0c;控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据&＃xff0c;导致 StackOverflowError&＃xff0c;从而终止进程。这也称为 DoS 攻击。

从 2.17.0 版本开始&＃xff08;针对 Java 8&＃xff09;&＃xff0c;只有配置中的查找字符串才会被递归扩展&＃xff1b;在任何其他用法中&＃xff0c;仅解析顶层查找&＃xff0c;不解析任何嵌套查找。

在以前的版本中&＃xff0c;可以通过确保你的日志记录配置执行以下操作来缓解此问题&＃xff1a;

• 在日志记录配置的 PatternLayout 中&＃xff0c;用 Thread Context Map 模式&＃xff08;%X、%mdc 或 %MDC&＃xff09;替换 ${ctx:loginId} 或 $${ctx:loginId} 等 Context Lookups。

• 否则&＃xff0c;在配置中删除对 ${ctx:loginId} 或 ${ctx:loginId} 等 Context Lookups 的引用&＃xff1b;它们源自应用程序外部的源&＃xff0c;如 HTTP headers 或 user input.。

2.17.0 版本的具体更新内容包括有&＃xff1a;

• 修复字符串替换递归。修复 LOG4J2-3230

• 将 JNDI 仅限于 java 协议。默认情况下&＃xff0c;JNDI 将保持禁用状态。将 JNDI 启用属性从“log4j2.enableJndi”重命名为“log4j2.enableJndiLookup”、“log4j2.enableJndiJms”和“log4j2.enableJndiContextSelector”。修复 LOG4J2-3242

• JNDI 仅限于 java 协议。默认情况下&＃xff0c;JNDI 将保持禁用状态。启用属性已重命名为“log4j2.enableJndiJava”。修复 LOG4J2-3242

• 不要将 log4j-api-java9 和 log4j-core-java9 声明为依赖项&＃xff0c;因为这会导致 Maven enforcer 插件出现问题。修复 LOG4J2-3241

• 解析属性文件过滤器时的 PropertiesConfiguration.parseAppenderFilters NPE。修复 LOG4J2-3247

• Syslog Appender 的 Log4j 1.2 bridge 默认为端口 512 而不是 514。修复 LOG4J2-3249

• Log4j 1.2 bridge API 将 Syslog 协议硬编码为 TCP。修复 LOG4J2-3237

下载地址&＃xff1a;https://logging.apache.org/log4j/2.x/download.html

连日加班好多天&＃xff0c;终于整理好了《第3版&＃xff1a;互联网大厂面试题》并分类 172份 PDF&＃xff0c;累计 7701页&＃xff01;

整理的面试题&＃xff0c;内容列表

第3版&＃xff1a;互联网大厂面试题&＃xff0c;怎么领取&＃xff1f;

视频&＃xff0c;怎么领取&＃xff1f;

加私人微信&＃xff0c;回复&＃xff1a;面试题

 注意&＃xff0c;不要乱回复 

&＃xff08;一定要回复 面试题 &＃xff09;否则啥得不到

没错&＃xff0c;不是机器人

记得一定要等待&＃xff0c;等待才有好东西&＃xff01;