Apache Log4j是一个基于Java的日志记录工具。它是由Ceki Gülcü首创的,现在则是Apache软件基金会的一个项目。log4j是几种Java日志框架之一。Gülcü此后开创了SLF4J和Logback 项目,意图成为log4j的继任者。
漏洞复现
影响版本:
Apache Log4j 2.x <= 2.14.1
版本描述
1.Log4j 2.14.1 现在可用于生产。Log4j 2 的 API 与 Log4j 1.x 不兼容,但是可以使用适配器来允许应用程序继续使用 2.Log4j 1.x API。适配器也可用于 Apache Commons Logging、SLF4J 和 java.util.logging。
3.Log4j 2.14.1 是 Log4j 的最新版本。从 Log4j 2.13.0 开始,Log4j 2 在运行时需要 Java 8 或更高版本。此版本包含可在最新更改报告中找到的新功能和修复程序。
4.Log4j 2.14.0 包含一个新的布局JsonTemplateLayout,旨在最终取代 JsonLayout。顾名思义,它使用模板来定义要包含在 JSON 中的元素。此布局由 GitHub 上 log4j2-logstash-layout 的作者贡献,他现在是 Log4j 社区的成员。
5.Log4j 2.14.0 添加了对 MongoDB 4 的支持并删除了对 MongoDB 2 的支持。
6.Log4j 2.14.1 保持与以前版本的二进制兼容性。
参考:
https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues
https://github.com/apache/logging-log4j2/pull/608
https://gitbox.apache.org/repos/asf?p=logging-log4j2.git;a=blob;f=log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiRestrictedLookupTest.java;h=032c9c4d85204e6490a734724c8d549c50de7164;hb=d82b47c
修复建议:
1.将Apache log4j2的所有相关应用程序升级至全新的log4j-2.15 0-rc1版本,地址:https:
github.comapachelogging-log4j2releasestaglog4j-2.15.0-rc1
2 升级目前被受影响的程序和组件,例如srping-boot-strater-log4j2Apache SolrApache FlinkApache Druid
TOP