温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Apache Log4j2报核弹级漏洞快速修复方法是什么

发布时间:2021-12-13 10:14:50 来源:亿速云 阅读:508 作者:iii 栏目:开发技术

这篇文章主要介绍“Apache Log4j2报核弹级漏洞快速修复方法是什么”,在日常操作中,相信很多人在Apache Log4j2报核弹级漏洞快速修复方法是什么问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”Apache Log4j2报核弹级漏洞快速修复方法是什么”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

Apache Log4j2 是一个基于Java的日志记录工具,是 Log4j 的升级,在其前身Log4j 1.x基础上提供了 Logback 中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

影响版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方补丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案

1)设置 jvm 参数:

-Dlog4j2.formatMsgNoLookups=true

2)日志设置:

log4j2.formatMsgNoLookups=True

3)设置系统环境变量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4)关闭对应的应用程序的网络外网连接,并且禁止主动外连

还没升级的,赶紧检查修复,以免造成损失。。

总结补充资料:

漏洞修复方案:

Apache官方已发布补丁,腾讯安全专家建议受影响的用户尽快升级到安全版本。

漏洞缓解措施:

(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true

(2)log4j2.formatMsgNoLookups=True

到此,关于“Apache Log4j2报核弹级漏洞快速修复方法是什么”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI