Apache Log4j2 報核彈級漏洞快速修復方法

Apache Log4j2 報核彈級漏洞,棧長的朋友圈都炸鍋瞭,很多程序猿都熬到半夜緊急上線,昨晚你睡瞭嗎??

Apache Log4j2 是一個基於Java的日志記錄工具,是 Log4j 的升級,在其前身Log4j 1.x基礎上提供瞭 Logback 中可用的很多優化,同時修復瞭Logback架構中的一些問題,是目前最優秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞觸發條件為隻要外部用戶輸入的數據會被日志記錄,即可造成遠程代碼執行。

影響版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方補丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

臨時解決方案

1)設置 jvm 參數:

-Dlog4j2.formatMsgNoLookups=true

2)日志設置:

log4j2.formatMsgNoLookups=True

3)設置系統環境變量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4)關閉對應的應用程序的網絡外網連接,並且禁止主動外連

參考:https://github.com/apache/logging-log4j2

還沒升級的,趕緊檢查修復,以免造成損失。。

總結補充資料:

漏洞修復方案:

Apache官方已發佈補丁,騰訊安全專傢建議受影響的用戶盡快升級到安全版本。

補丁下載地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

漏洞緩解措施:

(1)jvm參數 -Dlog4j2.formatMsgNoLookups=true

(2)log4j2.formatMsgNoLookups=True

到此這篇關於突發!Apache Log4j2 報核彈級漏洞快速修復方法的文章就介紹到這瞭,更多相關Apache Log4j2 核彈級漏洞內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: