突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!附解决方法

Java架构师社区

共 408字,需浏览 1分钟

 ·

2021-12-11 10:22

关注我们,设为星标,每天7:30不见不散,架构路上与您共享 

回复"架构师"获取资源


大家好,我是架构君,一个会写代码吟诗的架构师。



Apache Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,这两天你睡好了吗?

Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案

1)设置 jvm 参数:

-Dlog4j2.formatMsgNoLookups=true

2)日志设置:

log4j2.formatMsgNoLookups=True

3)设置系统环境变量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4)关闭对应的应用程序的网络外网连接,并且禁止主动外连

参考:https://github.com/apache/logging-log4j2

5)由于安全jar包使用的是zip,我整理了本地使用的一些方法,供大家参考

地址:https://javajgs.com/archives/32534

还没升级的,赶紧检查修复,以免造成损失。。

文章来源:https://javajgs.com/archives/32534


到此文章就结束了。如果今天的文章对你在进阶架构师的路上有新的启发和进步,欢迎转发给更多人。欢迎加入架构师社区技术交流群,众多大咖带你进阶架构师,在后台回复“加群”即可入群。



这些年小编给你分享过的干货


1.优质SpringBoot物流管理项目(附源码)

2.优质ERP系统带进销存财务生产功能(附源码)

3.优质SpringBoot带工作流管理项目(附源码)

4.最好用的OA系统,拿来即用(附源码)

5.SBoot+Vue外卖系统前后端都有(附源码

6.SBoot+Vue可视化大屏拖拽项目(附源码)



转发在看就是最大的支持❤️

浏览 46
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报