服了！Log4j2 再再爆雷，Log4j v2.17.0 横空出世。。。

我猜到了开头，却没有猜到结尾。。。

1

再爆雷

Apache Log4j 2 是一款优秀的 Java 日志框架。

该工具重写了 Log4j 框架，并且引入了大量丰富的特性，该框架被大量用于业务系统开发，用来记录日志信息。

几乎只要是 Java 程序员，几乎都会用到 Apache Log4j 这个组件。就在上周的时候 Log4j 爆出了一个史诗级别的 Bug。

由于 Apache Log4j 2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

于是 Log4j 紧急升级了一个版本 2.15.0，让大家升级到此版本来解决这个问题。。

当天多少个程序员，加班再改 Bug，但是没过几天，官网又紧急更新了一个版本 2.16.0。

因为，2.15.0 虽然解决了最严重的核弹级漏洞，但 2.15.0 的修复不完整，还存在允许攻击者执行拒绝服务攻击（DoS）漏洞，这个已经在最新的 2.16.0 中进行修复了。

2.15.0 虽然修复了一个核弹级漏洞，官方又新发现出来一个 DoS 攻击漏洞。。。

然后一堆程序员，又赶紧跟着该代码升级，都以为这是最后一次更新了，结果。。。

2

再再爆雷

这周末，可能很多程序员忙着升级 Log4j 到2.16版，不过他们可能又白忙活了。

因为Apache软体基金会又释出了Log4j 2.17.0版来修补新的阻断服务（Denial of Service，DoS）漏洞。

The Log4j team has been made aware of a security vulnerability, CVE-2021-45105, that has been addressed in Log4j 2.17.0 for Java 8 and up. Log4j 团队已获悉一个安全漏洞 CVE-2021-45105，该漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解决。

上周一释出的Apache Log4j 2.16.0版是为了修补早先发现的漏洞。

该漏洞被列为CVE-2021-45046，允许攻击者输入Log4j2 ThreadContext Map（MDC）资料时、使用非预设的Patten Layout改造成恶意查询输入。

2.16.0还释出不到一周，又被安全研究人员揭露有新漏洞，且是新的DoS漏洞。

新漏洞编号CVE-2021-45105，Apache说明在具有Thread Context Map查询的变项中，以StrSubstitutor class${${::-${::-$${::-j}}}}代入，造成无限递迴（infinite recursion），引发应用程式当掉。

于是 Log4j 2.17.0 横空出世。。。

3

解决访问

遇到这种问题，真的很无力吐槽，但是没办法只要是人写的程序，几乎不可能避免完全不出问题。

可能上周 Log4j 爆出问题之后，开发人员也很慌，在很短的时间内，先把优先级最高的 Bug 解决发出来。

在这两天不断研究中，又发现了很多问题，于是又又紧急的更新了一个又一个版本来解决问题。

如果你们公司使用了 Log4j ，现在还不是吐槽的时候，现在先紧急去升级版本吧。

最新 Maven 依赖：

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>

最后，再说两句：

编程发展到了今天，任何公司都不可能不使用第三方开源组件，一个中型的项目，轻轻松松会用到几十个甚至上百个。

在时间的长河中，很难避免使用过的某个组件不出安全问题，因此对于程序员来讲，也需要及时关注行业信息。

早一点发现问题，给公司带来的损失会更小。