Log4J 2.16.0版本又爆新漏洞

21-12-18 banq

上周log4j漏洞的最终方案是升级到2.16.0版本,但是周五又爆新漏洞,按照传统:研究人员发现 Log4J 2.16 版通过“${$ {::-${::-$${::-j}}}} ”容易受到 DoS 攻击。

如果出于任何原因尝试在以上字符串,它将触发无限递归,应用程序将崩溃。

点标题见原文

补充:建议升级到2.17.0:https://logging.apache.org/log4j/2.x/download.html

1
猜你喜欢