关于java:突发Apache-Log4j2-报核弹级漏洞赶紧修复

28次阅读

共计 667 个字符,预计需要花费 2 分钟才能阅读完成。

Apache Log4j2 报核弹级破绽,栈长的朋友圈都炸锅了,很多程序猿都熬到中午紧急上线,昨晚你睡了吗??

Apache Log4j2 是一个基于 Java 的日志记录工具,是 Log4j 的降级,在其前身 Log4j 1.x 根底上提供了 Logback 中可用的很多优化,同时修复了 Logback 架构中的一些问题,是目前最优良的 Java 日志框架之一。

此次 Apache Log4j2 破绽触发条件为只有内部用户输出的数据会被日志记录,即可造成近程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

最新官网补丁

https://github.com/apache/log…

长期解决方案

1)设置 jvm 参数:

-Dlog4j2.formatMsgNoLookups=true

2)日志设置:

log4j2.formatMsgNoLookups=True

3)设置零碎环境变量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4)敞开对应的应用程序的网络外网连贯,并且禁止被动外连

参考:https://github.com/apache/log…

还没降级的,连忙查看修复,免得造成损失。。

近期热文举荐:

1.1,000+ 道 Java 面试题及答案整顿 (2021 最新版)

2. 别在再满屏的 if/ else 了,试试策略模式,真香!!

3. 卧槽!Java 中的 xx ≠ null 是什么新语法?

4.Spring Boot 2.6 正式公布,一大波新个性。。

5.《Java 开发手册(嵩山版)》最新公布,速速下载!

感觉不错,别忘了顺手点赞 + 转发哦!

正文完
 0