Log4J2的瓜

编者按：

【免责声明】本号文章仅代表个人观点，与任何公司无关。

编辑|SQL和数据库技术(ID:SQLplusDB)

瓜1：Log4J2连续爆雷

Apache Log4J2"核弹级"的安全漏洞，简单而言即运行Log4J 的2.0～2.14.1版本的服务器，攻击者可以利用这个漏洞执行任何代码。

• 2021 年 12 月 10 日，Apache 为 Java 8 用户发布了 Log4j 2.15.0，以解决远程代码执行 (RCE) 漏洞 — CVE-2021-44228。
• 2021 年 12 月 13日， Apache 发布了面向 Java 7 用户的 Log4j 2.12.2 和面向 Java 8 用户的 Log4j 2.16.0，以解决 RCE 漏洞 CVE-2021-45046。
• 2021年 12 月 17 日，Apache 为 Java 8 用户发布了 Log4j 2.17.0，以解决拒绝服务 (DOS) 漏洞 — CVE-2021-45105。

瓜2：Oracle数据据库相关

针对这个漏洞Oracle也发布了相关产品的安全警告。

参考：
Apache Log4j Security Alert CVE-2021-44228 Products and Versions (Doc ID 2827611.1)

关于Oracle数据库的文档：

Oracle Database and Apache Log4j vulnerability CVE-2021-44228 and 
CVE-2021-45046(Doc ID 2828877.1)

和数据库相关的受影响的产品有Trace File Analyzer（TFA）、OEM、MySQL Enterprise monitor、EBS、SQL Developer等。

但Oracle DB和MySQL Server、Timesten没有影响。

在文档中提及相关产品相应的补丁的信息，如果有中招可能性的话，尽快打补丁吧。

瓜3：阿里瓜

不评论，自己脑补~