12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。
Apache Log4j 2.x <= 2.15.0-rc1 版本均回会受到影响。
修复方案:
1.快速应急修复方案(任选其一进行修复)
(1)修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
(2)修改配置 log4j2.formatMsgNoLookups=True
(3)将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
2.升级log4j为2.15.0-rc2版本进行彻底修复
apache-log4j-2.15.0-rc2-bin.zip
下载下来后本地直接引用或上传到本地私服,
将引用了Log4j 2.x-2.15.0-rc1的都在maven里做排除jar包处理
如: <exclusions> <exclusion> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> </exclusion> </exclusions>
注意:主要排除低版本 log4j-api、log4j-core、log4j-to-slf4j
然后再单独引用
<dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.15.0</version> <!--或者本地引用--> </dependency>