突发!Apache Log4j2 报核弹级漏洞

共 474字,需浏览 1分钟

 ·

2021-12-15 21:45

1、都在建议你不要直接使用 @Async 注解,为什么?

2、面试官:抛开Spring来说,如何自己实现Spring AOP?

3、蓝绿发布、滚动发布、灰度发布,有什么区别?这下明白了

4、为什么我劝你放弃了Restful API?

5、公司规定所有接口都用 POST请求,这是为什么?


Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??

Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案

1)设置 jvm 参数:

-Dlog4j2.formatMsgNoLookups=true

2)日志设置:

log4j2.formatMsgNoLookups=True

3)设置系统环境变量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4)关闭对应的应用程序的网络外网连接,并且禁止主动外连

参考:https://github.com/apache/logging-log4j2

最近热文阅读:

1、都在建议你不要直接使用 @Async 注解,为什么?
2、面试官:抛开Spring来说,如何自己实现Spring AOP?
3、为什么我劝你放弃了Restful API?
4、Java8 Stream:2万字20个实例,玩转集合的筛选、归约、分组、聚合
5、公司规定所有接口都用 POST请求,这是为什么?
6、为什么阿里强制 boolean 类型变量不能使用 is 开头?
7、面试官:InnoDB中一棵B+树可以存放多少行数据?
8、MyBatis批量插入几千条数据,请慎用foreach
9、有了 for (;;) ,为什么还需要while (true) ?到底哪个更快?
10、名企公开挂“加班真好”标语,员工称一年被免费“白嫖”600多小时!网友看不下去了,稽查部门展开调查...
关注公众号,你想要的Java都在这里

浏览 16
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报