突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!
Posted Java技术栈
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!相关的知识,希望对你有一定的参考价值。
点击关注公众号,Java干货及时送达
Apache Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??
Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。
此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
影响版本
2.0 <= Apache log4j2 <= 2.14.1
最新官方补丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
临时解决方案
1)设置 jvm 参数:
-Dlog4j2.formatMsgNoLookups=true
2)日志设置:
log4j2.formatMsgNoLookups=True
3)设置系统环境变量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true
4)关闭对应的应用程序的网络外网连接,并且禁止主动外连
参考:https://github.com/apache/logging-log4j2
还没升级的,赶紧检查修复,以免造成损失。。
关注Java技术栈看更多干货
获取 Spring Boot 实战笔记!
以上是关于突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!的主要内容,如果未能解决你的问题,请参考以下文章
Apache Log4j 爆核弹级漏洞,Spring Boot 默认日志框架就能完美躲过。。。
Apache Log4j 爆核弹级漏洞,Spring Boot 默认日志框架就能完美躲过!!
分析并复现Apache核弹级漏洞,利用Log4j2使目标服务器执行任意代码
阿里云因发现Log4j2 核弹级漏洞,未及时上报,被工信部处罚。。