Apache Log4j2 报核弹级漏洞快速修复方法

2021-12-11 From 博客园 By Java技术栈

Apache Log4j2 报核弹级漏洞，栈长的朋友圈都炸锅了，很多程序猿都熬到半夜紧急上线，昨晚你睡了吗？？

Apache Log4j2 是一个基于Java的日志记录工具，是 Log4j 的升级，在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化，同时修复了Logback架构中的一些问题，是目前最优秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

1）设置 jvm 参数：

-Dlog4j2.formatMsgNoLookups=true

2）日志设置：

log4j2.formatMsgNoLookups=True

3）设置系统环境变量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4）关闭对应的应用程序的网络外网连接，并且禁止主动外连

还没升级的，赶紧检查修复，以免造成损失。。

总结补充资料：

Apache官方已发布补丁，腾讯安全专家建议受影响的用户尽快升级到安全版本。

（1）jvm参数 -Dlog4j2.formatMsgNoLookups=true

（2）log4j2.formatMsgNoLookups=True

本文来源：博客园，转载请注明出处！

来源地址：https://www.cnblogs.com/javastack/archive/2021/12/10/15672362.html

君子曰：学不可以已。

知识图谱是较为典型的多学科交叉领域，涉及知识工程、自然语言处理、机器学习、图数据库等多个领域。《知识图谱：方法、实践与应用》系统地介绍知识图谱涉及的关键技术，如知识建模、关系抽取、图存储、自动推理、图谱表示学习、语义搜索、知识问答、图挖掘分析等。此外，本书还尝试将学术前沿和实战结合。

发表感想

扫码订阅程序之心