log4j bug

大 bug

因为前几个月发生了一个大 bug，Log4j2 ，代号是**CVE-2021-44228**，有人称简直相当于核弹级别的 bug。

事实上也是如此，大部分的项目已经被查出有此 bug。

至于为什么都会有，天下之大，为何你的样貌尽与我出奇的相似。

听说那个时候是半夜出现的大 bug。第二天 log4j 也是直接发布的最新的版本来解决此 bug。但是也似乎没有给出确切的答案是否已经完全修复了。

### 漏洞原因：

---

log4j 提供了 Lookups 机制，用于添加一些特殊值到日志中，在 Lookups 机制中，由于 JNDI 功能没有对名称解析做限制，而某些协议是不安全的，可以允许远程代码执行。

所以导致一些人使用计算器就可以入侵数据库

### 如何根治

如何根治我不知道，尽量等待官方和几家大厂的修复吧。

[log4j2 官方](https://logging.apache.org/log4j/2.x/security.html)