最近，Log4j2 的核弹级漏洞在技术圈进行了几波轰炸，这期间，有不断加班升级修复的，有直接禁用 Lookups 功能的，还有直接换日志框架（Logback）的，好不热闹。。

说说，你们公司是哪一种呢？

栈长每次修复完以为是可以歇歇了，结果没想到每次都是史料未及，这次应该在 Log4j v2.17.0 这个版本尘埃落定了，Spring Boot 也最终发布了漏洞解决版本：

终于！Spring Boot 最新版发布，一招解决 Log4j2 核弹级漏洞！

即使 Log4j2 的漏洞已经告一段落，可 Log4j2 又发版了：

2021/12/22 最新发布，也就是栈长写文时间。

这个 v2.12.3 和 v2.3.1 版本又是什么鬼？不会又在修复漏洞吧！！

栈长又去官网验证了下，如图：

确实是还在修复漏洞，不过还是之前的漏洞：CVE-2021-45105：

该漏洞已在Java 8+ 版本的 Log4j v2.17.0 中得到解决，这次修复的是分别是 Java 7 和 Java 6 的，修复的是不同的 JDK 版本的包而已！

还好，还好，有惊无险，这次终于逃过一劫。。

总结一下：

如果把这次的版本更新也算进来，Log4j2 漏洞一共经历了 15 天：

以 Java 8 漏洞为例，一共历经 3 个正式版本，5 个候选版本，共修复了 4 个漏洞：

• CVE-2021-45105（拒绝服务攻击漏洞）
• CVE-2021-45046（远程代码执行漏洞）
• CVE-2021-44228（远程代码执行漏洞）
• 信息泄漏漏洞（安全公司 Praetorian 发现）

最新 JDK 版本对应的 Log4j2 版本如下：

最终解决方案：

终于！Spring Boot 最新版发布，一招解决 Log4j2 核弹级漏洞！

这次应该可以完美落幕了吧？再来就要杀疯了。。

出　　处：https://www.cnblogs.com/javastack/p/15727355.html