ApacheLog4j2報核彈級漏洞快速修復方法

2022-09-26 13:06:18 字數 811 閱讀 6893

apache log4j2 報核彈級漏洞,棧長的朋友圈都炸鍋了,很多程式猿都熬到半夜緊急上線,昨晚你睡了嗎??

apache log4j2 是乙個基於j**a的日誌記錄工具,是 log4j 的公升級,在其前身log4j 1.x基礎上提供了 logback 中可用的很多優化,同時修復了logback架構中的一些問題,是目前最優秀的 j**a日誌框架之一。

此次 apache log4j2 漏洞觸發條程式設計客棧件為只要外部使用者輸入的資料會被日誌記錄,即可造成遠端**執行。

影響版本

2.0 <= apache log4j2 <= 2.14.1

最新官方補丁

程式設計客棧/tag/log4j-2.15.0-rc2

1)設定 jvm 引數:

-dlog4j2.formatmsgnolookups=true

2)日誌設定:

log4j2.formatmsgnolookups=true

3)設定系統環境變數:

format_mesdyocyhxsages_pattern_disable_lookups = true

4)關閉對應的應用程式的網路外網連線,並且禁止主動外連

參考:還沒公升級的,趕緊檢查修復,以免造成損失。。

總結補充資料:

apache官方已發布補丁,騰訊安全專家建議受影響的使用者盡快公升級到安全版本。

補丁**位址:

/tag/log4j程式設計客棧-2.15.0-rc1

(1)jvm引數 -dlog4j2.formatmsgnolookups=true

(2)log4j2.formatmsgnolookups=true

Apache Log4j安全漏洞風險通告

風險通告 apache log4j 任意 執行漏洞安全 風險通告 漏洞描述 apache log4j 是 apache 的乙個開源專案,apache log4j 2 是 log4j 的公升級,可以控制 日誌資訊輸送的目的地為控制台 檔案 gui 元件等,通過定義每一條日誌資訊的級別,能夠 更加細緻地...

log4j2 使用詳解

1.log4j2的匯入 2.測試用例 log4j 2.0的使用非常簡單,只要用logmanager的getlogger函式獲取乙個logger,就可以使用logger記錄日誌,如下 import org.apache.logging.log4j.logmanager import org.apach...

Log4j2使用案例

全乾貨記錄 link org.apache.logging.log4jgroupid log4j apiartifactid 2.13.3version dependency org.apache.logging.log4jgroupid log4j coreartifactid 2.13.3ver...