关注我们,设为星标,每天7:30不见不散,架构路上与您共享 回复"架构师"获取资源大家好,我是架构君,一个会写代码吟诗的架构师。
Apache Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,这两天你睡好了吗??
Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。
此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
影响版本
2.0 <= Apache log4j2 <= 2.14.1
最新官方补丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
临时解决方案
1)设置 jvm 参数:
-Dlog4j2.formatMsgNoLookups=true
2)日志设置:
log4j2.formatMsgNoLookups=True
3)设置系统环境变量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true
4)关闭对应的应用程序的网络外网连接,并且禁止主动外连
参考:https://github.com/apache/logging-log4j2
5)由于安全jar包使用的是zip,我整理了本地使用的一些方法,供大家参考
地址:https://javajgs.com/archives/32534
还没升级的,赶紧检查修复,以免造成损失。。
文章来源:https://javajgs.com/archives/32534
致力于分享优质文章及教程【java程序员从初级到中级进阶Java高级架构师】;搜集全网高质量学习书籍面试题视频项目;让您系统提升java架构技术,关注回复『1024』获取Java编程资源,共学习,共进步。
3772
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
