Apache Log4j 又出現(xiàn)漏洞，發(fā)現(xiàn)者建議盡快升級(jí)到 2.16.0

IT之家 12 月 17 日消息，最近的 Log4j 漏洞想必大家都知道了，12 月 9 日晚，開源項(xiàng)目 Apache Log4j 2 的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞的利用細(xì)節(jié)被公開，隨著 Apache Log4j 2.15.0 正式版發(fā)布，該漏洞已得到解決。

然而，安全公司 Praetorian 在博客宣布，他們?cè)?nbsp;Apache Log4j 2.15.0 版本又發(fā)現(xiàn)了一個(gè)敏感數(shù)據(jù)泄露的漏洞，可用于從受影響的服務(wù)器下載數(shù)據(jù)。

Praetorian 表示，他們已將該問題的技術(shù)細(xì)節(jié)傳遞給 Apache 基金會(huì)，但在此期間，Praetorian 強(qiáng)烈建議用戶盡快升級(jí)到 2.16.0。

IT之家了解到，Praetorian 將實(shí)行負(fù)責(zé)任的披露，因此目前不會(huì)公開分享技術(shù)細(xì)節(jié)，以免出現(xiàn)更大的問題。

Apache Log4j2 是一款優(yōu)秀的 Java 日志框架。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。大多數(shù)情況下，開發(fā)者可能會(huì)將用戶輸入導(dǎo)致的錯(cuò)誤信息寫入日志中。

Apache Log4j 2.16.0 正式版地址：點(diǎn)此進(jìn)入

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。