突发！Apache Log4j2 报核弹级漏洞。。赶紧修复！！附解决方法-轻识

关注我们,设为星标,每天7:30不见不散,架构路上与您共享

回复"架构师"获取资源

大家好，我是架构君，一个会写代码吟诗的架构师。

Apache Log4j2 报核弹级漏洞，栈长的朋友圈都炸锅了，很多程序猿都熬到半夜紧急上线，这两天你睡好了吗？？

Apache Log4j2 是一个基于Java的日志记录工具，是 Log4j 的升级，在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化，同时修复了Logback架构中的一些问题，是目前最优秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案

1）设置 jvm 参数：

-Dlog4j2.formatMsgNoLookups=true

2）日志设置：

log4j2.formatMsgNoLookups=True

3）设置系统环境变量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4）关闭对应的应用程序的网络外网连接，并且禁止主动外连

参考：https://github.com/apache/logging-log4j2

5）由于安全jar包使用的是zip，我整理了本地使用的一些方法，供大家参考

地址：https://javajgs.com/archives/32534

还没升级的，赶紧检查修复，以免造成损失。。

文章来源：https://javajgs.com/archives/32534

到此文章就结束了。如果今天的文章对你在进阶架构师的路上有新的启发和进步，欢迎转发给更多人。欢迎加入架构师社区技术交流群，众多大咖带你进阶架构师，在后台回复“加群”即可入群。

这些年小编给你分享过的干货

1.优质SpringBoot物流管理项目（附源码）

转发在看就是最大的支持❤️