颤抖吧 Javaer， log4j 史诗级漏洞

logback 是 spring 默认的日志组件， 所谓的依赖 是只是为了包含 log4j 的功能而依赖它的 API 而已，实现 和 log4j 没啥关系~

spring - boot - starter..

@lis66951735
https://github.com/spring-projects/spring-boot/issues/28958
properties 里增加下面这行就行了
<log4j2.version>2.15.0</log4j2.version>

@humpy mark

@lhwarthas 谢谢！我搜了半天了，就你的看着最靠谱，虽然我还没动手。

这是创造就业

@liuxianzhuo 感谢感谢！

好奇是谁第一个通报的

网上最新的 log4j2 - 2.15.0 版本，2021/12/10 02:25 分编译的，git 库的 2.15.0-rc2 的 tag 标记的 push 记录时 2021/12/10 02:24 ，所以 网上的 2.15.0 和 rc2 是一个版本。下载地址 https://search.maven.org/search?q=g:org.apache.logging.log4j

该问题 看 git 记录，应该是 2021/07/07 由 mattsicker push 的，只是新增 JDNI 功能，可能考虑不到有 bug 。

最近的一条处理在 2021/12/05 号，由 Ralph Goers* （主要的开发者）一条 Restrict LDAP access via JNDI 的 commit ，提交了对于 LDAP 的一些限制，这个时候，我觉得他们就已经意识到问题。

真正编译出来 2.15.0 和 git 标记 2.15.0-rc2 是今天早上 2 点左右开始改代码的，直接限制了。可以去看 2.15.0 jar 中的 org.apache.logging.log4j.core.net.lookup 方法 catch (URISyntaxException ex) 修改之前是 什么都不做。

个人猜测，从 12/05 开始，就能限制 LDAP 的问题了，但是 昨天事件爆出来之后，他们又处理了一次，直接 catch 了。

@kischang 感谢大佬！

@ves 阿里通报的

jdk 1.8.0_181 这个版本测试不能重现攻击
高版本 jndi 默认关闭了吧

早上到公司看到的邮件，11 点领导发话上午就要升级完版本，现在我们组的服务还没发布完

@aguesuka 感动，在 java 甚至打日志都能出大 bug ；

这下真企业级了

@aguesuka 意思是 Apache 全部都不能用了……
@pkoukk 试试运行里面输入这个：（警告：危险操作，请勿在重要环境下尝试） \\.\globalroot\device\condrv\kernelconnect （参考： /t/746010 ）

iptables -I INPUT -p tcp -m string --string "jndi" --algo kmp -j DROP;
iptables -I INPUT -p tcp -m string --string "jndi" --algo kmp -j DROP;

配置防火墙好像可以限制这个，想知道我用防火墙限制会不会有什么坑

@aguesuka 你 #64 引用的未上升到作者角度，『 purge that library 』
最多从功能角度上认为打 log 根本不需要特别的库，直接 printf 就成。我非常同意，要么你 log 输出就是流（然后用成熟的 unix 方式处理），要么你 log 直接输出结构化的信息（好比 sentry ）。logger.error("...") 毫无存在的必要。
我拿 python 的 logging 折腾了半天，最后还不是一股脑丢给 journald 。

@ryan93 不一定只是 jndi ，其他方式也可能触发其他问题，目前暴露的是 jndi 会导致 RCE ，其他也可能导致比如源站 IP 泄漏（通过某个 lookup 使你访问某个网站）。