近期Log4J漏洞感想
2021-12-21 本文已影响0人
lain_one
这次log4j2的漏洞,基本上是个java应用就被波及到,因为用到这个组件的产品实在是太多了。
而且日志组件属于那种“没事没必要的时候就不会升级”,之前也鼓吹 log4j2比log4j1性能强很多,所以大部分产品用到的log4j2都是可以存在漏洞,且无法使用加jvm启动参数缓解安全风险的版本,只能强制升级。
log4j2官方团队在知晓漏洞后,内部“安静的扯皮”十几天后,终于发了升级版本。但是一波未平一波又起,在原有jndi漏洞被修后,新发布的版本又被爆出有DoS拒绝服务攻击漏洞,于是很快又迎来了2.17.0版本。
Java世界里这种升级避免不了,只能寄希望于容器化,让Java应用强制升级依赖的事情变得“安静”。