Log4j2 BUG 缓解措施无效

最新推荐文章于 2024-05-02 13:46:28 发布
最新推荐文章于 2024-05-02 13:46:28 发布
阅读量1k 收藏 1
点赞数
分类专栏: Java 文章标签: log4j2 bug log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jing_Xu_Qxq/article/details/121906046
版权

现在网上大部分的缓解措施大部分都是:

  • 在jvm参数中添加 -Dlog4j2.FORMATMsgNoLookups=true

  • 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

  • 创建 "log4j2.component.properties" 文件,文件中增加配置 "log4j2.formatMsgNoLookups=true"

该缓解措施对于2.10以下的版本并没有效果,通过源码我们可以看到旧版本并不是从环境环境变量中获取noLookups的值,而是从判断属性中是否有nolookups,所以网上说的缓解措施并没有效果。

 

以下是NOLOOKUPS的常量值:

 

对于低版本如果才能设置nolookups的值呢?通过源码我们可以看到只要属性中有noloopups变量即可,所以我们可以通过设置pattern的消息的属性值nolookups,%m/msg/message{nolookups}。

 

测试结果:

 

结论: 修复时一定要注意自己log4j的版本,确定修复方案是否有效。

Q弹小丸子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j是如何拖慢你的系统的
veZunShao的专栏
11-21 7737
log4j 引起的线上事故 1 问题起因 这个是在生产环境中发生的问题,第一次事故因为别人把大量的请求打来过来,猜测是机器扛不住,后来量少后发现问题不存在了,大致把问题定位是因为量的问题,也就准备后续的扩容,大概过了几个月,线上又发生了一次事故,事故的特征排查之后的特征就是打印log的速度非常慢,而且nginx处理速度也慢,同一个请求两个条日志之间间隔了好几秒, 经过运维排查后,是
Apache Log4j2紧急缓解措施.docx
12-16
Apache Log4j2 紧急缓解措施 Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出现了严重的安全漏洞, Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修复该漏洞,避免攻击者的攻击。 一、修改启动脚本 在...
关于log4j2的重新加载,以及不同级别日志输出到不同日志文件
bglmmz的专栏
11-11 452
log4j2[2.1] log4j2的配置文件格式可以是JSON,或者XML。 一般是在classpath路径中查找log4j2.json,或者log4j2.xml, 或者也可以通过系统参数来设置配置文件,比如(一般这个用在命令行启动的应用): [code="java"]-Dlog4j.configurationFile=path/to/log4j2.xml[/code] 在应用...
最新【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程(1)
最新发布
2401_84300239的博客
05-02 785
2、升级已知受影响的应用及组件,如 srping-boot-strater-log4j2 / Apache Solr / Apache Flink / Apache Druid。FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true,进入Linux命令行,输入 vi /etc/profile,在最后加入。下载地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。
log4j2(随机数用尽)导致的springboot项目启动慢
donlian的专栏
12-09 1432
当你的服务启动非常慢,并且没有日志输出时,应该如何排查问题?
Apache Log4j2紧急缓解措施
weixin_45270673的博客
12-16 1701
Apache Log4j2紧急缓解措施 一、修改启动脚本,添加:-Dlog4j2.formatMsgNoLookups 现在:java -jar xxx.jar 改为:java -jar -Dlog4j2.formatMsgNoLookups=true xxx.jar 二、修改配置jar包中的配置文件 application.properties #log4j2 log4j2.formatMsgNoLookups=True 配置文件是application.yml改为: #log4j2 log4j2: f
Mybatis整合log4j、延迟加载
哈哈
10-08 326
Log4j2结合Slf4j配置使用
12-10
Log4j2 结合 Slf4j 配置使用 Log4j2 是一个功能强大且广泛使用的日志记录工具,它提供了灵活的日志记录机制和高性能的日志记录能力。Slf4j 则是一个简单的日志记录门面,提供了统一的日志记录接口。今天,我们将...
log4j2_rce 项目
02-23
为了防止Log4j2 RCE漏洞,系统管理员和开发者应采取以下措施: 1. 更新:尽快更新到不受影响的Log4j2版本,通常是2.15.0及更高版本。 2. 配置修复:禁用JNDI lookup功能,或者限制网络访问,阻止JNDI请求流向外部...
Log4j2Scanner
02-23
Log4j2-Scan
老生常谈Log4j和Log4j2的区别(推荐)
08-30
下面我们将从配置文件类型、核心JAR包、文件渲染和Log调用四个方面来比较Log4j和Log4j2的区别。 配置文件类型 Log4j通过一个.properties文件作为主配置文件,而Log4j2则弃用了这种方式,采用的是.xml、.json或者....
JVM常用参数设置
08-03
NULL 博文链接:https://ajita.iteye.com/blog/1985134
spring-boot-starter-log4j2
09-25
四、Log4j2配置详解 1. 日志级别:Log4j2支持TRACE、DEBUG、INFO、WARN、ERROR、FATAL和OFF七个级别。通过配置文件,可以设置全局日志级别,也可以针对特定类或包设置不同级别。 2. Appenders:Appender是日志输出...
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4j、Log4j2和Fastjson的安全性问题在过去曾引起广泛关注,例如Log4j2的CVE-2021-44228(也被称为Log4Shell漏洞),这是一个远程代码执行漏洞,影响了许多使用Log4j2的系统。这个插件可能就是为了检测和利用这些...
log4j2的配置案例,可直接使用
03-22
文件输出器“debug_appender”只会输出级别为“debug”和“info”之间的日志信息,输出到文件“debug.log”中,每天产生一个新的日志文件,同时在日志文件大小达到10MB时,会产生一个新的文件。输出格式同控制台输出...
log4j2所需的jar
04-28
这个压缩包“apache-log4j-2.13.2-bin”包含了Log4j2的核心组件,使得开发者可以在他们的应用程序中集成并使用Log4j2。以下是关于Log4j2的一些关键知识点: 1. **日志框架**:Log4j2是Apache软件基金会开发的日志...
log4j2_Log4j错误–减慢您的应用程序
cunhu2961的博客
01-07 238
log4j2 最近,我们正在对流行的SaaS应用程序进行故障排除。 该应用程序间歇性地变慢。 要从问题中恢复,必须重新启动应用程序。 在高流量期间,此应用有时会变慢。 有时在交通繁忙时也是如此。 没有凝聚力模式。 这种应用程序变慢并重新启动它持续了一段时间。 然后,我们开始解决问题。 我们发现了一些有趣的东西,以为您也可以从我们的发现中受益,因此撰写了本文。 技术栈 这个流行的SaaS应用程序...
log4j -Dlog4j.configuration指定日志配置文件无法加载问题
热门推荐
吟啸徐行
07-04 1万+
可以使用-Dlog4j.debug 参数打印log4j的debug信息,debug信息如下:log4j: Trying to find [/home/bi_polaris/one_eval/log4j.properties] using context classloader sun.misc.Launcher$AppClassLoader@4e25154f. log4j: Trying to f...
Log4j2深度解析:超越Log4j与Logback的优势
"本文介绍了Log4j2的基本概念、特性以及相对于Log4j1.x和Logback的优势,并提供了Log4j2的使用方法和配置文件的相关信息。" Log4j2作为Apache软件基金会的一个项目,是对早期Log4j1.x的重构,旨在提供更高的性能和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值