其他
紧急!Log4j 史诗级漏洞来袭,已引起大规模入侵,速速自查!
以下文章来源Java后端栈,回复”面试“获面试宝典
扫码关注带你吊爆Java后端技术
哈喽,各位新来的小伙伴们,大家好!由于公众号做了改版,为了保证公众号的资源能准时推送到你手里,大家记得将后端君的公众号 加星标置顶 ,在此真诚的表示感谢~
来源:程序猿DD
上一篇:Git 基本原理介绍
正文
大家好,我是栈哥。
1、漏洞简介
Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。2、漏洞危害
漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。3、漏洞编号
暂无4、影响范围
Apache Log4j 2.x <= 2.14.15、修复措施
建议排查Java应用是否引入log4j-api , log4j-core 两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护 。另外搜索公众号GitHub猿后台回复“理财”,获取一份惊喜礼包。升级Apache Log4j 2所有相关应用到最新的 log4j-2.15.0-rc1 版本,地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1 升级已知受影响的应用及组件,如: spring-boot-strater-log4j2 Apache Solr Apache Flink Apache Druid
6、紧急缓解措施:如果还来不及更新版本修复,可通过下面的方法紧急缓解问题
(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2) 修改配置:log4j2.formatMsgNoLookups=True
(3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
最后给读者整理了一份BAT大厂面试真题,需要的可扫码加微信备注:“面试”获取。
◆ ◆ ◆ ◆ ◆
Intellij IDEA 2021.2.3 最新版免费激活教程(可激活至 2099 年,亲测有效)
接了个变态需求:生成 Excel + PDF 导出,用 Java 怎么实现?
IntelliJ IDEA 2021.3发布,这次不追了。。
Spring Boot + Redis 实现各种操作,写得太好了吧!
欢迎添加栈哥个人微信 ysle007 进粉丝群或围观朋友圈