突发！Apache Log4j2 报核弹级漏洞！-轻识

往期热门文章：

1、1 平方厘米在元宇宙卖到 14 万？单价比北京学区房贵多了！
2、干掉visio，这个画图神器真的绝了！！！
3、程序员裸辞全职接单一个月的感触
4、Java8 Stream：2万字20个实例，玩转集合的筛选、归约、分组、聚合
5、字节终面：两个文件的公共URL怎么找？

Apache Log4j2 报核弹级漏洞，很多程序猿都熬到半夜紧急上线，昨晚你睡了吗？？

Apache Log4j2 是一个基于Java的日志记录工具，是 Log4j 的升级，在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化，同时修复了Logback架构中的一些问题，是目前最优秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案

1）设置 jvm 参数：

-Dlog4j2.formatMsgNoLookups=true

2）日志设置：

log4j2.formatMsgNoLookups=True

3）设置系统环境变量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4）关闭对应的应用程序的网络外网连接，并且禁止主动外连

参考：https://github.com/apache/logging-log4j2

往期热门文章：
1、《历史文章分类导读列表！精选优秀博文都在这里了！》
2、为什么国内 996 干不过国外的 955 呢？
3、在部队当程序员是什么体验？
4、神级程序员都在用什么工具？
5、是时候扔掉 Postman 了，Apifox 真香！
6、这些年我用过的 6个API 接口文档平台，真的好用
7、Redis 实现限流的三种简单方式
8、9个GVP国产Java开源项目！是真滴哇塞
9、阿里领导：手下两个应届生，一个踏实喜欢加班，一个技术强挑活，怎么选？
10、这就是最适合程序员的云笔记？