大bug
因为前几个月发生了一个大bug,Log4j2 ,代号是CVE-2021-44228,有人称简直相当于核弹级别的bug。
事实上也是如此,大部分的项目已经被查出有此bug。
至于为什么都会有,天下之大,为何你的样貌尽与我出奇的相似。
听说那个时候是半夜出现的大bug。第二天log4j也是直接发布的最新的版本来解决此bug。但是也似乎没有给出确切的答案是否已经完全修复了。
漏洞原因:
log4j 提供了Lookups 机制,用于添加一些特殊值到日志中,在 Lookups 机制中,由于 JNDI 功能没有对名称解析做限制,而某些协议是不安全的,可以允许远程代码执行。
所以导致一些人使用计算器就可以入侵数据库
如何根治
如何根治我不知道,尽量等待官方和几家大厂的修复吧。
log4j2官方
