搜索

紧急!Log4j 史诗级漏洞来袭,已引起大规模入侵,速速自查!

开发者技术前线

共 360字,需浏览 1分钟

 · 2021-12-14

点击“开发者技术前线”,选择“星标”
让一部分开发者看到未来

    来源:程序猿DD

1、漏洞简介

Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

2、漏洞危害

漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

3、漏洞编号

暂无

4、影响范围

Apache Log4j 2.x <= 2.14.1

5、修复措施

建议排查Java应用是否引入log4j-api , log4j-core 两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护 。另外搜索公众号GitHub猿后台回复“理财”,获取一份惊喜礼包。
  1. 升级Apache Log4j 2所有相关应用到最新的 log4j-2.15.0-rc1 版本,地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
  2. 升级已知受影响的应用及组件,如:
    1. spring-boot-strater-log4j2
    2. Apache Solr
    3. Apache Flink
    4. Apache Druid

6、紧急缓解措施:
如果还来不及更新版本修复,可通过下面的方法紧急缓解问题

(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true     

(2) 修改配置:log4j2.formatMsgNoLookups=True

(3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true


—  —
点这里👇关注我,记得标星呀~
前线推出学习交流一定要备注:研究/工作方向+地点+学校/公司+昵称(如JAVA+上海
扫码加小编微信,进群和大佬们零距离
回复“电子书” “资料” 领取一份干货,数百面试手册等

好文点个在看


浏览 17
点赞
评论
收藏
分享

手机扫一扫分享

举报
评论
图片
表情
推荐
互联网晚报 | ​大麦网已退款凤凰传奇演唱会“柱子票”;钟薛高再成被执行人;iPhone 16或取消实体音量键和电源键
大麦网回应凤凰传奇演唱会买到“柱子票”:已退票退款据报道,凤凰传奇2024巡回演唱会常州站演出结束的第二天,有网友称自己在大麦网买到“柱子票”,因为观看效果不佳,要求退款被拒。23日,记者从涉事网友处了解到,大麦方面给出了退款建议,但被其拒绝,“我希望平台退款加赔偿,并重视屡次出现的‘柱子票’问题。
产品刘
0
一个小公司的技术开发心酸事(已倒闭)
往期热门文章:1、JetBrains 如何看待自己的软件在中国被频繁破解?2、程序员因Bug被要求归还4万多年终奖,网友:不还!3、一套万能通用的异步处理方案4、微服务全做错了!谷歌提出新方法,成本直接降9倍!5、IntelliJ IDEA 2024 首个大版本发布,好用到爆!作者:qiuwww来源
Java后端技术
1
AI智能视觉检测技术在工业级测量领域的创新应用--AMB Tube-Q导管数字化测量系统
技术背景在深度学习算法出来之前,对于视觉算法来说,大致可以分为以下5个步骤:特征感知,图像预处理,特征提取,特征筛选,推理预测与识别。早期的机器学习中,占优势的统计机器学习群体中,对特征是不大关心的。深度学习是机器学习技术的一个方面,由人工神经网络提供支持。深度学习技术的工作原理是教机器通过实例学习
机器视觉
0
特斯拉裁员 1.4 万人!曝赔偿 N+3,两大核心高管已离职,市值暴跌 304 亿美元
点击上方 "大数据肌肉猿"关注, 星标一起成长点击下方链接,进入高质量学习交流群今日更新| 1052个转型案例分享-大数据交流群整理 | 郑丽媛出品 | 程序人生(ID:coder_life)昨日夜里,马斯克发布了一封特斯拉内部邮件,突然官宣:将全球裁员 10% 以上。根据此前特
程序源代码
10
“毒妻”翟欣欣已认罪!
上一篇:发现一奇怪现象:失业的人要么跑滴滴,要么送外卖,其实这5件事比找工作重要得多!据红星新闻,近日,记者从一可靠信源处获悉,翟欣欣被抓后,目前已认罪认罚,本案涉嫌敲诈的金额巨大,翟欣欣或将获刑10年以上。此外,该案开庭时间待定,苏享茂家属或将提起刑事附带民事诉讼。▲翟欣欣与苏享茂 图据网络根据《
开发者全社区
10
某多多从未有过大规模裁员,算不算互联网的铁饭碗?
给你所知道的公司,按工作强度排个名,前几名会是谁?我给的答案是:拼多多,华为,阿里。这几家关于加班的传闻太多也从未有见澄清,印象中一直是卷中之卷。还搜到一个网传的大厂工作强度对比:​最出乎意料的是竟然还有强者能够超越多多,牛!前两天刷到一个帖子,哦不,一个乐子:网友很有意思,说,多多从未有过大规模裁
TTTEED
2
学术会议,已沦为表演!
本文来源:《中国科学报》 作者 :陈洪捷 北京大学教育学院教授在当前的学术界,学术研讨会是一个使用频率很高的词汇。学者们好像不是在出席学术会议,就是在去学术会议的路上。学术会议数量之多令人应接不暇。特别是到了“会议季”,常常是会连会、会叠会,甚至会中套会,学者们常常苦于分身乏术,疲于奔会。
Python 知识大全
4
报告!这里发现了一个赛博炼丹的神级平台!
众所周知,“赛博炼丹”是一个AI开发研究领域古老又神秘的活动,它往往对炼丹平台有很高的要求。如果你也是一路从“炼丹小白”成长到“资深AI算法工程师”,那你一定懂我在说什么?说好了,天台见!          下面这些问题,你是不是也都遇到过
机器学习初学者
10
一次服务器被入侵的处理过程分享
下文中的,给文件和目录加锁,是指给文件和目录增加了一些属性,只读等。 chattr +ia目录一、服务器入侵现象二、服务器排查和处理2.1、服务器被入侵的可能原因2.2、排查和处理步骤三、本次入侵需要带来启示的点...
马哥Linux运维
0
记一次hosts配置内容过多引起的故障
记一次hosts配置内容过多引起的故障问题环境系统环境CentOS release 6.9 (Final)2.6.32-696.16.1.el6.x86_64Java 环境1.8.0_151Apollo1.4.0代码框架Spring Boot问题内容当我们启动 服务后,服务一直卡在去 Apollo 拉...
马哥Linux运维
0
点赞
评论
收藏
分享

手机扫一扫分享

举报