1. 升级到最新版本:
①Java 8 版本用户可升级至 Apache Log4j 2.16.0 版本,下载地址如下: https://logging.apache.org/log4j/2.x/download.html
②Java 7 版本用户可升级至 Apache Log4j 2.12.2 版本,下载地址如下: https://github.com/apache/logging-log4j2/releases/tag/rel%2F2.12.2
③用户如已经根据《Apache Log4j任意代码执行漏洞安全风险通告-第三次更新》的要求升级至Apache Log4j 2.15.0稳定版本或2.15.0-rc2版本,则不受该漏洞影响。
④用户如升级至Apache Log4j 2.15.0-rc1版本,且没有更改默认配置,则不受该漏洞影响。
⑤用户如使用Apache Log4j 1.x 版本,经测试在非默认配置情况下不受此漏洞影响。
2.临时缓解措施:
(1) 添加jvm启动参数 -Dlog4j2.formatMsgNoLookups=true
(2) 在应用程序的classpath下添加log4j2.component.properties配置文件文件,文件内容:log4j2.formatMsgNoLookups=True
(3) 移除log4j-core包中JndiLookup 类文件,并重启服务,具体命令如下: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class (4) 建议JDK 使用 11.0.1、8u191、7u201、6u211 及以上的高版本 (5) 限制受影响应用对外访问互联网 (6)禁用 JNDI。如在 spring.properties 里添加 spring.jndi.ignore=true