Apache Log4j2报核弹级漏洞快速修复方法是什么
导读:本文共821.5字符,通常情况下阅读需要3分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要: Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。影响版本2.0 &... ...
目录
(为您整理了一些要点),点击可以直达。
Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。
此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
影响版本
2.0 <= Apache log4j2 <= 2.14.1
最新官方补丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
1)设置 jvm 参数:
-Dlog4j2.formatMsgNoLookups=true
2)日志设置:
log4j2.formatMsgNoLookups=True
3)设置系统环境变量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true
4)关闭对应的应用程序的网络外网连接,并且禁止主动外连
还没升级的,赶紧检查修复,以免造成损失。。
总结补充资料:
Apache官方已发布补丁,腾讯安全专家建议受影响的用户尽快升级到安全版本。
(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2)log4j2.formatMsgNoLookups=True
Apache Log4j2报核弹级漏洞快速修复方法是什么的详细内容,希望对您有所帮助,信息来源于网络。