上周log4j漏洞的最终方案是升级到2.16.0版本,但是周五又爆新漏洞,按照传统:研究人员发现 Log4J 2.16 版通过“${$ {::-${::-$${::-j}}}} ”容易受到 DoS 攻击。
如果出于任何原因尝试在以上字符串,它将触发无限递归,应用程序将崩溃。
点标题见原文
补充:建议升级到2.17.0:https://logging.apache.org/log4j/2.x/download.html
上周log4j漏洞的最终方案是升级到2.16.0版本,但是周五又爆新漏洞,按照传统:研究人员发现 Log4J 2.16 版通过“${$ {::-${::-$${::-j}}}} ”容易受到 DoS 攻击。
如果出于任何原因尝试在以上字符串,它将触发无限递归,应用程序将崩溃。
点标题见原文
补充:建议升级到2.17.0:https://logging.apache.org/log4j/2.x/download.html