Log4j2 又爆新雷！2.16.0 存在 DOS 风险，速升 2.17.0 修复

Log4j2 再度告急：2.16.0 存在 DOS 风险，速升 2.17.0 修复

本以为上周更新至 2.16.0 版本后，Log4j2 的漏洞修复工作便告一段落。然而事与愿违，就在这个周末，Log4j 官方又火速发布了新版本 2.17.0！

根据官方公告，Log4j2 2.16.0 版本中存在一个新的 DOS 风险（CVE-2021-45105），攻击者可利用此漏洞触发大量线程创建，从而导致系统资源耗尽，最终引发拒绝服务（DoS）攻击。

对此，Log4j 官方强烈建议所有受影响用户尽快升级至 2.17.0 版本，以修复该漏洞。升级方法如下：

1. Maven 用户：

<dependency>
  <groupId>org.apache.logging.log4j</groupId>
  <artifactId>log4j-core</artifactId>
  <version>2.17.0</version>
</dependency>

2. Gradle 用户：

dependencies {
  implementation 'org.apache.logging.log4j:log4j-core:2.17.0'
}

3. 手动下载：
   从 Log4j2 官网 下载 2.17.0 版本并替换原有 jar 包。

需要注意的是，2.17.0 版本仅修复了 CVE-2021-45105 漏洞，其他已知漏洞仍需通过升级至最新稳定版本（目前为 2.16.0）来修复。

此外，Log4j 官方还提供了以下缓解措施，供受影响用户在升级前临时使用：

• 设置系统属性 log4j2.formatMsgNoLookups 为 true。
• 在 Log4j 配置文件中添加以下属性：

<Configuration status="warn">
  <Properties>
    <Property name="log4j2.formatMsgNoLookups">true</Property>
  </Properties>
</Configuration>

最后，强烈建议所有 Java 应用开发者密切关注 Log4j2 的官方公告，及时升级至最新版本，以确保应用免受漏洞攻击。