关于Apache Log4j2存在远程代码执行的漏洞临时缓解措施内容有更新。
1、Apache Log4j 2.10以下版本(2.0-2.9)无配置开关,暂不能通过三种临时修复方案规避风险;
2、2.10及以上版本,针对修改环境变量的修复方案,需设置LOG4J_log4j2_formatMsgNoLookups=True,配置FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS无效;
3、所有版本中,如果业务无需使用JNDI,可直接删除JAR包中的类:org/apache/logging/log4j/core/lookup/JndiLookup.class,不会引起Log4j功能异常;
4、WAF设备可自定义配置全局拦截策略:"${jndi:}"字样,可与此字符串的URL编码完整配置。