最近，Log4j2 的核弹级漏洞在技术圈进行了几波轰炸，这期间，有不断加班升级修复的，有直接禁用 Lookups 功能的，还有直接换日志框架（Logback）的，好不热闹。。

　　说说，你们公司是哪一种呢？

　　栈长每次修复完以为是可以歇歇了，结果没想到每次都是史料未及，这次应该在 Log4j v2.17.0 这个版本尘埃落定了，Spring Boot 也最终发布了漏洞解决版本：

　　终于！Spring Boot 最新版发布，一招解决 Log4j2 核弹级漏洞！

　　 Java技术栈

　　 Java

　　 Spring Boot

　　 Spring Cloud

　　 分享最新最主流的Java技术

　　即使 Log4j2 的漏洞已经告一段落，可 Log4j2 又发版了：

　　2021/12/22 最新发布，也就是栈长写文时间。

　　这个 v2.12.3 和 v2.3.1 版本又是什么鬼？不会又在修复漏洞吧！！

　　栈长又去官网验证了下，如图：

　　确实是还在修复漏洞，不过还是之前的漏洞：CVE-2021-45105：

　　CVE-2021-45105

　　拒绝服务攻击漏洞

　　安全等级

　　高

　　影响版本

　　Log4j2 2.0-alpha1 到 2.16.0

　　该漏洞已在Java 8+ 版本的 Log4j v2.17.0 中得到解决，这次修复的是分别是 Java 7 和 Java 6 的，修复的是不同的 JDK 版本的包而已！

　　还好，还好，有惊无险，这次终于逃过一劫。。

　　总结一下：

　　如果把这次的版本更新也算进来，Log4j2 漏洞一共经历了 15 天：

　　以 Java 8 漏洞为例，一共历经 3 个正式版本，5 个候选版本，共修复了 4 个漏洞：

　　CVE-2021-45105（拒绝服务攻击漏洞）CVE-2021-45046（远程代码执行漏洞）CVE-2021-44228（远程代码执行漏洞）信息泄漏漏洞（安全公司 Praetorian 发现）最新 JDK 版本对应的 Log4j2 版本如下：

　　JDK 版本

　　Log4j2 版本

　　Java 8+

　　v2.17.0

　　Java 7

　　v2.12.3

　　Java 6

　　v2.3.1

　　最终解决方案：

　　终于！Spring Boot 最新版发布，一招解决 Log4j2 核弹级漏洞！

　　这次应该可以完美落幕了吧？再来就要杀疯了。。

　　Log4j2 漏洞的后续进展，栈长也会持续跟进，Java技术栈第一时间推送。

　　版权声明！！！

　　本文系 "Java技术栈" 原创，转载、引用本文内容请注明出处，抄袭、洗稿一律投诉侵权，后果自负，并保留追究其法律责任的权利。