log4j升级之路
10.10 阿里公开log4j漏洞详细细节,apache下大部分项目受到影响,java程序员开启梦幻般的升级log4j的加班之旅。
初始升级方案
- 修改jvm参数:
Dlog4j2.formatMsgNoLookups=true
- 修改配置:
log4j2.formatMsgNoLookups=True
将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为 true
只能一定程度缓解,仍存在被绕过的风险。
升级版方案
10.11 日apache上线log4j 1.15稳定版,开启升级受影响组件log4j 包之旅。
下载地址:
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/2.15.0
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api/2.15.0
目前已测试可以直接更换升级log4j组件有:
- Apache Flink
- Apache Nifi
- Eletic Search