背景

这几天为了应对《Apache Log4j2 报核弹级漏洞》，Log4j2 连续发布了两个 RC（Release Candidate）候选版本，1 个正式版本。

在第一次的 RC1 候选版本中，Log4j2 还存在漏洞绕过风险，官方随后又发布了 RC2，后面就发布了 Log4j 2.15.0 正式版本，可用于生产环境，正式解决了核弹极漏洞。

今天栈长打开公众号Java技术栈，又有粉丝留言说，2.16.0 发布了！！

栈长前往一看：

我天！Log4j 又在搞什么鬼？这又发了 3 个版本？？

2 个候选版本，1 个正式版本：2.16.0

是的，又一个正式版本 Log4j 2.16.0 发布了，可用于生产环境。。

下面来看下 2.15.0 - 2.16.0 两个版本都修复了啥内容。

解决漏洞：CVE-2021-44228

漏洞原因：

Log4j2 中提供了Lookups 机制，用于添加一些特殊值到日志中，在 Lookups 机制中，由于 JNDI 功能没有对名称解析做限制，而某些协议是不安全的，可以允许远程代码执行，从而导致核弹级漏洞。

2.15.0 修复内容：

1、Log4j 2.15.0+ 现在默认将协议限制为仅 java、ldap 和 ldaps，并将 ldap 协议做访问限制了，默认仅允许访问本地服务器上的 Java 原始对象。

2、Log4j 2.15.0+ 现在默认禁用 Lookups 功能，虽然 Log4j 2.x 没有完全废除这项功能，但强烈建议大家不要启用它。

2.16.0 修复内容：

1、默认禁用 JNDI 功能。

2、移除消息的 Lookups 功能。

总结

2.15.0 只是对危险功能做了限制和默认禁用，2.16.0 就狠了，干脆直接干掉了。

2.16.0 这次更新也是很有必要的，直接斩草除根，将未知风险扼杀在摇篮里，这也是为了防止用户不小心开启，因为漏洞过去，大家就会疏于防范，在不注意的情况下又会造成漏洞。

果然是核弹级漏洞，大大小小版本搞了好些个了。。这次应该是最后一次的修复版本了吧？大家有没有被折腾过多次的？所以，如果有必要，你可能还要再折腾一次。。。

如何下载、升级、修复，以及 Spring Boot 应对方案，可参考栈长之前分享的文章：

最新！Log4j 2.x 再发版，正式解决核弹级漏洞，又要熬夜了。。。

https://www.javastack.cn/article/2021/apache-log4j-2.15.0-released/

Apache Log4j 爆核弹级漏洞，Spring Boot 默认日志框架就能完美躲过！！

https://www.javastack.cn/article/2021/apache-log4j2-spring-boot-default-no/

突发！Apache Log4j2 报核弹级漏洞。。赶紧修复！！

https://www.javastack.cn/article/2021/apache-log4j2-bug-20211210/

如果你想关注和学习最新、最主流的 Java 技术，可以持续关注Java技术栈，第一时间推送。

版权声明： 本文系公众号 "Java技术栈" 原创，原创实属不易，转载、引用本文内容请注明出处，抄袭者一律举报＋投诉，并保留追究其法律责任的权利。