log4j 2漏洞修复下载 Apache Log4j 2.17.0/2.12.2 官方最新版(CVE-2021-45105漏洞)
Log4j 是一个日志记录框架,Log4j 2 是对 Log4j 的升级,分享了重大改进,超越其前身 Log4j 1.x,并分享许多其它现代功能 ,例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。
Apache Log4j 2.16.0/2.12.2 现已可用。但Apache软体基金会又释出了Log4j 2.17.0版来修补新的阻断服务(Denial of Service,DoS)漏洞。Log4j 团队已获悉一个安全漏洞 CVE-2021-45105,该漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解决。
由于 SLF4J 绑定中的兼容性中断,Log4j 现在发布两个版本的 SLF4J 到 Log4j 的适配器。log4j-slf4j-impl对应 SLF4J 1.7.x 及更早版本; log4j-slf4j18-impl对应SLF4J 1.8.x 及更高版本一起使用。SLF4J-2.0.0 alpha 版本目前还不完全支持。
介绍说明
上周一释出的Apache Log4j 2.16.0版是为了修补早先发现的漏洞。
该漏洞被列为CVE-2021-45046,允许攻击者输入Log4j2 ThreadContext Map(MDC)资料时、使用非预设的Patten Layout改造成恶意查询输入。
2.16.0还释出不到一周,又被安全研究人员揭露有新漏洞,且是新的DoS漏洞。
新漏洞编号CVE-2021-45105,Apache说明在具有Thread Context Map查询的变项中,知识兔以StrSubstitutor class${${::-${::-$${::-j}}}}代入,造成无限递迴(infinite recursion),引发应用程式当掉。
Log4j 2.17 更新介绍
2.17.0 版本的具体更新内容包括有:
修复字符串替换递归。修复 LOG4J2-3230
将 JNDI 仅限于 java 协议。默认情况下,JNDI 将保持禁用状态。将 JNDI 启用属性从“log4j2.enableJndi”重命名为“log4j2.enableJndiLookup”、“log4j2.enableJndiJms”和“log4j2.enableJndiContextSelector”。修复 LOG4J2-3242
JNDI 仅限于 java 协议。默认情况下,JNDI 将保持禁用状态。启用属性已重命名为“log4j2.enableJndiJava”。修复 LOG4J2-3242
不要将 log4j-api-java9 和 log4j-core-java9 声明为依赖项,因为这会导致 Maven enforcer 插件出现问题。修复 LOG4J2-3241
解析属性文件过滤器时的 PropertiesConfiguration.parseAppenderFilters NPE。修复 LOG4J2-3247
Syslog Appender 的 Log4j 1.2 bridge 默认为端口 512 而不是 514。修复 LOG4J2-3249
Log4j 1.2 bridge API 将 Syslog 协议硬编码为 TCP。修复 LOG4J2-3237
下载仅供下载体验和测试学习,不得商用和正当使用。
