Log4j2 重大 bug,你的 java 程序中招了吗?

User avatar

Happy Fire

大家好,最近没有更新,因为一直在迎接我的第一个宝宝的降临,现在小家伙睡着了,接下来开始缓慢更新。

言归正传。

最近几天,程序员界最大的新闻莫过于 Log4j2 暴出重大 bug 的事情了。

具体来说,就是 Log4j2 这个日志框架对字符串的处理不够严谨,导致一些特殊字符被解析成为系统的命令从而有远程代码执行的重大风险。

而且这个漏洞唯一的解决方法就是升级版本,好在目前 Log4j2 官方已经释出了最新版本,修复了这个bug。

但是对于诸多 java 程序来说,生产环境的 jar 包版本升级可不是那么快的,开发环境修改之后,要走一轮测试,然后上测试环境/准生产环境,最后才可以找一个时间点更新生产环境的jar 包。

这个 bug 影响了诸如 iCloud, Steam 等等大平台,同时也提醒我们,即使是如 Log4j2 这样成熟的框架,也会有重大安全风险。

更多关于这个 bug 的信息,请参考:

https://m.weibo.cn/status/4712627097571837?

https://www.lunasec.io/docs/blog/log4j-zero-day/

#程序员
  • Loading comments...