Apache?Log4j2報(bào)核彈級(jí)漏洞快速修復(fù)方法是什么

這篇文章主要介紹“Apache Log4j2報(bào)核彈級(jí)漏洞快速修復(fù)方法是什么”，在日常操作中，相信很多人在Apache Log4j2報(bào)核彈級(jí)漏洞快速修復(fù)方法是什么問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對(duì)大家解答”Apache Log4j2報(bào)核彈級(jí)漏洞快速修復(fù)方法是什么”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

Apache Log4j2 是一個(gè)基于Java的日志記錄工具，是 Log4j 的升級(jí)，在其前身Log4j 1.x基礎(chǔ)上提供了 Logback 中可用的很多優(yōu)化，同時(shí)修復(fù)了Logback架構(gòu)中的一些問題，是目前最優(yōu)秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞觸發(fā)條件為只要外部用戶輸入的數(shù)據(jù)會(huì)被日志記錄，即可造成遠(yuǎn)程代碼執(zhí)行。

影響版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方補(bǔ)丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

臨時(shí)解決方案

1）設(shè)置 jvm 參數(shù)：

-Dlog4j2.formatMsgNoLookups=true

2）日志設(shè)置：

log4j2.formatMsgNoLookups=True

3）設(shè)置系統(tǒng)環(huán)境變量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4）關(guān)閉對(duì)應(yīng)的應(yīng)用程序的網(wǎng)絡(luò)外網(wǎng)連接，并且禁止主動(dòng)外連

還沒升級(jí)的，趕緊檢查修復(fù)，以免造成損失。。

總結(jié)補(bǔ)充資料：

漏洞修復(fù)方案：

Apache官方已發(fā)布補(bǔ)丁，騰訊安全專家建議受影響的用戶盡快升級(jí)到安全版本。

漏洞緩解措施：

（1）jvm參數(shù) -Dlog4j2.formatMsgNoLookups=true

（2）log4j2.formatMsgNoLookups=True

到此，關(guān)于“Apache Log4j2報(bào)核彈級(jí)漏洞快速修復(fù)方法是什么”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！