Apache Log4j2 報核彈級漏洞快速修復方法

Apache Log4j2 報核彈級漏洞，棧長的朋友圈都炸鍋瞭，很多程序猿都熬到半夜緊急上線，昨晚你睡瞭嗎？？

Apache Log4j2 是一個基於Java的日志記錄工具，是 Log4j 的升級，在其前身Log4j 1.x基礎上提供瞭 Logback 中可用的很多優化，同時修復瞭Logback架構中的一些問題，是目前最優秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞觸發條件為隻要外部用戶輸入的數據會被日志記錄，即可造成遠程代碼執行。

影響版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方補丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

臨時解決方案

1）設置 jvm 參數：

-Dlog4j2.formatMsgNoLookups=true

2）日志設置：

log4j2.formatMsgNoLookups=True

3）設置系統環境變量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4）關閉對應的應用程序的網絡外網連接，並且禁止主動外連

參考：https://github.com/apache/logging-log4j2

還沒升級的，趕緊檢查修復，以免造成損失。。

總結補充資料：

漏洞修復方案：

Apache官方已發佈補丁，騰訊安全專傢建議受影響的用戶盡快升級到安全版本。

補丁下載地址：
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

漏洞緩解措施：

（1）jvm參數 -Dlog4j2.formatMsgNoLookups=true

（2）log4j2.formatMsgNoLookups=True

到此這篇關於突發！Apache Log4j2 報核彈級漏洞快速修復方法的文章就介紹到這瞭,更多相關Apache Log4j2 核彈級漏洞內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet！

推薦閱讀：

• 最新log4j2遠程代碼執行漏洞(附解決方法)
• Apache log4j2-RCE 漏洞復現及修復建議(CVE-2021-44228)
• 全網最新Log4j 漏洞修復和臨時補救方法
• Java RMI引起的log4j漏洞問題重現
• springboot 使用logback啟動報警報錯的解決