突发!Apache Log4j2 报核弹级漏洞!

共 471字,需浏览 1分钟

 ·

2021-12-20 08:58

往期热门文章:

1、1 平方厘米在元宇宙卖到 14 万?单价比北京学区房贵多了!
2、干掉visio,这个画图神器真的绝了!!!
3、程序员裸辞全职接单一个月的感触
4、Java8 Stream:2万字20个实例,玩转集合的筛选、归约、分组、聚合
5、字节终面:两个文件的公共URL怎么找?

Apache Log4j2 报核弹级漏洞,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??
Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。
此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
影响版本
2.0 <= Apache log4j2 <= 2.14.1
最新官方补丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
临时解决方案
1)设置 jvm 参数:
-Dlog4j2.formatMsgNoLookups=true
2)日志设置:
log4j2.formatMsgNoLookups=True
3)设置系统环境变量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true
4)关闭对应的应用程序的网络外网连接,并且禁止主动外连
参考:https://github.com/apache/logging-log4j2

往期热门文章:

1、历史文章分类导读列表!精选优秀博文都在这里了!》
2、为什么国内 996 干不过国外的 955 呢?
3、在部队当程序员是什么体验?
4、神级程序员都在用什么工具?
5、是时候扔掉 Postman 了,Apifox 真香!
6、这些年我用过的 6个API 接口文档平台,真的好用
7、Redis 实现限流的三种简单方式
8、9个GVP国产Java开源项目!是真滴哇塞
9、阿里领导:手下两个应届生,一个踏实喜欢加班,一个技术强挑活,怎么选?
10、这就是最适合程序员的云笔记?

浏览 54
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报