Apache Log4j2 報核彈級漏洞,堆疊長的朋友圈都炸鍋了,很多程式猿都熬到半夜緊急上線,昨晚你睡了嗎??
Apache Log4j2 是一個基于Java的日志記錄工具,是 Log4j 的升級,在其前身Log4j 1.x基礎上提供了 Logback 中可用的很多優化,同時修復了Logback架構中的一些問題,是目前最優秀的 Java日志框架之一,
此次 Apache Log4j2 漏洞觸發條件為只要外部用戶輸入的資料會被日志記錄,即可造成遠程代碼執行,
影響版本
2.0 <= Apache log4j2 <= 2.14.1
最新官方補丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
臨時解決方案
1)設定 jvm 引數:
-Dlog4j2.formatMsgNoLookups=true
2)日志設定:
log4j2.formatMsgNoLookups=True
3)設定系統環境變數:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true
4)關閉對應的應用程式的網路外網連接,并且禁止主動外連
參考:https://github.com/apache/logging-log4j2
還沒升級的,趕緊檢查修復,以免造成損失,,
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2021最新版)
2.別在再滿屏的 if/ else 了,試試策略模式,真香!!
3.臥槽!Java 中的 xx ≠ null 是什么新語法?
4.Spring Boot 2.6 正式發布,一大波新特性,,
5.《Java開發手冊(嵩山版)》最新發布,速速下載!
覺得不錯,別忘了隨手點贊+轉發哦!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/379053.html
標籤:Java