突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!附解决方法
关注我们,设为星标,每天7:30不见不散,架构路上与您共享 回复"架构师"获取资源
大家好,我是架构君,一个会写代码吟诗的架构师。
Apache Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,这两天你睡好了吗??
Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。
此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
影响版本
2.0 <= Apache log4j2 <= 2.14.1
最新官方补丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
临时解决方案
1)设置 jvm 参数:
-Dlog4j2.formatMsgNoLookups=true
2)日志设置:
log4j2.formatMsgNoLookups=True
3)设置系统环境变量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true
4)关闭对应的应用程序的网络外网连接,并且禁止主动外连
参考:https://github.com/apache/logging-log4j2
5)由于安全jar包使用的是zip,我整理了本地使用的一些方法,供大家参考
地址:https://javajgs.com/archives/32534
还没升级的,赶紧检查修复,以免造成损失。。
文章来源:https://javajgs.com/archives/32534
这些年小编给你分享过的干货
转发在看就是最大的支持❤️