突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!

Posted Java技术栈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!相关的知识,希望对你有一定的参考价值。

点击关注公众号,Java干货及时送达

Apache Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??

Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案

1)设置 jvm 参数:

-Dlog4j2.formatMsgNoLookups=true

2)日志设置:

log4j2.formatMsgNoLookups=True

3)设置系统环境变量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4)关闭对应的应用程序的网络外网连接,并且禁止主动外连

参考:https://github.com/apache/logging-log4j2

还没升级的,赶紧检查修复,以免造成损失。。

23 种设计模式实战(很全)

官宣:Redis OM 对象映射框架来了!

你还在遍历搜索集合?Java 8 一行代码搞定!

JetBrains 发布下一代 IDE,IDEA 可以扔了

重磅!JDK 17 发布,正式免费。。

面试官:Java 8 map 和 flatMap 的区别?

终于!Spring Cloud 2021 正式发布。。

推荐一款代码神器,代码量至少省一半!

程序员精通各种技术体系,45岁求职难!

重磅!Spring Boot 2.6 正式发布

Spring Boot 学习笔记,这个太全了!

关注Java技术栈看更多干货

获取 Spring Boot 实战笔记!

以上是关于突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!的主要内容,如果未能解决你的问题,请参考以下文章

Apache Log4j 爆核弹级漏洞,Spring Boot 默认日志框架就能完美躲过。。。

Apache Log4j 爆核弹级漏洞,Spring Boot 默认日志框架就能完美躲过!!

分析并复现Apache核弹级漏洞,利用Log4j2使目标服务器执行任意代码

阿里云因发现Log4j2 核弹级漏洞,未及时上报,被工信部处罚。。

阿里云因发现Log4j2 核弹级漏洞,未及时上报,被工信部处罚。。

阿里云因发现Log4j2 核弹级漏洞,未及时上报,被工信部处罚。。