漏洞简述:
漏洞是12月9日曝出来的,如果发现日志内容中包含关键字 ${},其包含的内容会当做变量来进行替换,导致攻击者可以任意执行命令。
解决方案:
① 将版本升级至2.15.0-rc2
版本
② 添加JVM参数-Dlog4j2.formatMsgNoLookups=true
③ 设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS
设置为true
④ 创建配置文件log4j2.component.properties
,设置配置项log4j2.formatMsgNoLookups=true
建议:Status2、Druid、Dubbo、ElasticSearch、Redis、Kafka等开源项目都受影响,所以你的项目如果有用到如上应用,则即使你没有使用Log4j-2也会受到影响。