2.16.0 版本中的 Log4j2 漏洞
Log4j2 Vulnarability in version 2.16.0
我们的系统是一个基于微服务的系统。它有超过 120 项服务。我们被建议将微服务中的 log4j 版本升级到 2.16.0 以缓解最近的 log4j 漏洞。目前我们的服务使用的是2.11.2版本。我们不能只使用 -Dlog4j2.formatMsgNoLookups=true 来缓解这些漏洞吗?
查看 Apache Log4j Security Vulnerabilities 页面,尤其是“已在 Log4j 2.12.2 和 Log4j 2.16.0 中修复”标题下的说明。
它解释说,即使在 2.15.0 中,它具有 CVE-2021-44228 的初始修复,也可能存在您仍然遇到问题的情况,它有一个新的 ID:CVE-2021-45046
Note that previous mitigations involving configuration such as to set the system property log4j2.formatMsgNoLookups to true do NOT mitigate this specific vulnerability.
为了保护自己免受新 CVE 的侵害,请更新到 2.16.0。
我们的系统是一个基于微服务的系统。它有超过 120 项服务。我们被建议将微服务中的 log4j 版本升级到 2.16.0 以缓解最近的 log4j 漏洞。目前我们的服务使用的是2.11.2版本。我们不能只使用 -Dlog4j2.formatMsgNoLookups=true 来缓解这些漏洞吗?
查看 Apache Log4j Security Vulnerabilities 页面,尤其是“已在 Log4j 2.12.2 和 Log4j 2.16.0 中修复”标题下的说明。
它解释说,即使在 2.15.0 中,它具有 CVE-2021-44228 的初始修复,也可能存在您仍然遇到问题的情况,它有一个新的 ID:CVE-2021-45046
Note that previous mitigations involving configuration such as to set the system property log4j2.formatMsgNoLookups to true do NOT mitigate this specific vulnerability.
为了保护自己免受新 CVE 的侵害,请更新到 2.16.0。