突發(fā)!Apache Log4j2 報(bào)核彈級漏洞。。趕緊修復(fù)!!
點(diǎn)擊關(guān)注公眾號,Java干貨及時(shí)送達(dá)
Apache Log4j2 報(bào)核彈級漏洞,小編的朋友圈都炸鍋了,很多程序猿都熬到半夜緊急上線,昨晚你睡了嗎??
Apache Log4j2 是一個(gè)基于Java的日志記錄工具,是 Log4j 的升級,在其前身Log4j 1.x基礎(chǔ)上提供了 Logback 中可用的很多優(yōu)化,同時(shí)修復(fù)了Logback架構(gòu)中的一些問題,是目前最優(yōu)秀的 Java日志框架之一。
此次 Apache Log4j2 漏洞觸發(fā)條件為只要外部用戶輸入的數(shù)據(jù)會被日志記錄,即可造成遠(yuǎn)程代碼執(zhí)行。
影響版本
2.0 <= Apache log4j2 <= 2.14.1
最新官方補(bǔ)丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
臨時(shí)解決方案
1)設(shè)置 jvm 參數(shù):
-Dlog4j2.formatMsgNoLookups=true
2)日志設(shè)置:
log4j2.formatMsgNoLookups=True
3)設(shè)置系統(tǒng)環(huán)境變量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true
4)關(guān)閉對應(yīng)的應(yīng)用程序的網(wǎng)絡(luò)外網(wǎng)連接,并且禁止主動(dòng)外連
參考:https://github.com/apache/logging-log4j2
還沒升級的,趕緊檢查修復(fù),以免造成損失。。
怎么接私活?這個(gè)渠道你100%有用!請收藏!
喜歡文章,點(diǎn)個(gè)在看?
