Apache Log4j 又出現漏洞，發現者建議盡快升級到 2.16.0

最近的 Log4j 漏洞想必大家都知道了，12 月 9 日晚，開源項目 Apache Log4j 2 的一個遠程代碼執行漏洞的利用細節被公開，隨著 Apache Log4j 2.15.0 正式版發布，該漏洞已得到解決。

　　然而，安全公司 Praetorian 在博客宣布，他們在 Apache Log4j 2.15.0 版本又發現了一個敏感數據泄露的漏洞，可用于從受影響的服務器下載數據。

　　Praetorian 表示，他們已將該問題的技術細節傳遞給 Apache 基金會，但在此期間，Praetorian 強烈建議用戶盡快升級到 2.16.0。

　　Praetorian 將實行負責任的披露，因此目前不會公開分享技術細節，以免出現更大的問題。

　　Apache Log4j2 是一款優秀的 Java 日志框架。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性。該日志框架被大量用于業務系統開發，用來記錄日志信息。大多數情況下，開發者可能會將用戶輸入導致的錯誤信息寫入日志中。

　　Apache Log4j 2.16.0 正式版地址：點此進入

為你推薦