速度!快速临时解决Log4j惊天漏洞

·  阅读 6154
速度!快速临时解决Log4j惊天漏洞

🤞 个人主页:@青Cheng序员石头
🤞 粉丝福利:加粉丝群 一对一问题解答,获取免费的丰富简历模板、提高学习资料等,做好新时代的卷卷王!

Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

官方补丁

github.com/apache/logg…

临时解决方案一

  1. 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

  2. 设置“log4j2.formatMsgNoLookups=True”

  3. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

  4. 关闭对应应用的网络外连,禁止主动外连

临时解决方案二

还有的解决办法升级版本,现在中央仓库还没发版本,可以去GitHub下载源码临时编译打包替换。

文章系转载,阅读原文请跳转Apache Log4j2 远程代码执行漏洞 | 默安科技全产品支持检测


少年,没看够?点击石头的详情介绍,随便点点看看,说不定有惊喜呢?欢迎支持点赞/关注/评论,有你们的支持是我更文最大的动力,多谢啦!

分类:
后端
收藏成功!
已添加到「」, 点击更改