查看原文
其他

突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!

点击关注 👉 Java技术栈 2021-12-17

点击关注公众号,Java干货及时送达

Apache Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??

Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案

1)设置 jvm 参数:

-Dlog4j2.formatMsgNoLookups=true

2)日志设置:

log4j2.formatMsgNoLookups=True

3)设置系统环境变量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4)关闭对应的应用程序的网络外网连接,并且禁止主动外连

参考:https://github.com/apache/logging-log4j2

还没升级的,赶紧检查修复,以免造成损失。。


23 种设计模式实战(很全)
官宣:Redis OM 对象映射框架来了!你还在遍历搜索集合?Java 8 一行代码搞定!JetBrains 发布下一代 IDE,IDEA 可以扔了
重磅!JDK 17 发布,正式免费。。面试官:Java 8 map 和 flatMap 的区别?
终于!Spring Cloud 2021 正式发布。。
推荐一款代码神器,代码量至少省一半!程序员精通各种技术体系,45岁求职难!
重磅!Spring Boot 2.6 正式发布
Spring Boot 学习笔记,这个太全了!



关注Java技术栈看更多干货



获取 Spring Boot 实战笔记!
: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存