Apache Log4j2 报核弹级漏洞快速修复方法
Apache Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗??
Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。
此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
影响版本
2.0 <= Apache log4j2 <= 2.14.1
最新官方补丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
临时解决方案
1)设置 jvm 参数:
-Dlog4j2.formatMsgNoLookups=true
2)日志设置:
log4j2.formatMsgNoLookups=True
3)设置系统环境变量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true
4)关闭对应的应用程序的网络外网连接,并且禁止主动外连
参考:https://github.com/apache/logging-log4j2
还没升级的,赶紧检查修复,以免造成损失。。
总结补充资料:
漏洞修复方案:
Apache官方已发布补丁,腾讯安全专家建议受影响的用户尽快升级到安全版本。
补丁下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
漏洞缓解措施:
(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2)log4j2.formatMsgNoLookups=True
到此这篇关于突发!Apache Log4j2 报核弹级漏洞快速修复方法的文章就介绍到这了,更多相关Apache Log4j2 核弹级漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
Java使用x-www-form-urlencoded发请求方式
在开发中经常使用JSON格式,但遇到x-www-form-urlencoded格式时,可以通过重新封装处理,POSTMan和APIpost工具中对此编码的称呼不同,分别是x-www-form-urlencoded和urlencoded,分享这些经验希望对他人有所帮助2024-09-09springSecurity之AuthenticationProvider用法解析
这篇文章主要介绍了springSecurity之AuthenticationProvider用法解析,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2023-03-03RestTemplate设置超时时间及返回状态码非200处理
这篇文章主要为大家介绍了RestTemplate设置超时时间及返回状态码非200处理,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-06-06
最新评论