# spring 项目 Log4j2 JNDI 漏洞修复
针对有直接依赖或者间接依赖(引用其他中间件:elasticsearch、druid、nacos等)Log4j 2.x <= 2.14.1 之间的版本。
#### 一、修复办法
resources文件夹下新建 log4j2.component.properties配置文件。具体内容如下:
```properties
log4j2.formatMsgNoLookups = true
针对远程网络攻击
二、检查是否生效
新建测试bean 进行验证,代码如下:
package com.hanbingbbs.controller;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.stereotype.Component;
import static org.apache.logging.log4j.core.util.Constants.FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS;
@Component
public class Log4jFormatMsgNoLookupsCheck implements InitializingBean {
@Override
public void afterPropertiesSet() throws Exception {
System.out.println(FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS);
}
}
不同版本可能存在差异,如项目中使用的log4j 的参数配置 不在 org.apache.logging.log4j.core.util.Constants,可根据源码具体分析。