Apache Log4j2远程代码执行漏洞彻底修复建议
手机扫一扫
apache ii评分centos apache mysql安卓apachelinux 卸载 apacheapache 虚拟域名
莫古技术网精选文章Apache Log4j2远程代码执行漏洞彻底修复建议

Apache Log4j2远程代码执行漏洞彻底修复建议

精选文章moguli202024-12-19 9:34:2423A+A-

这两天网上被Apache Log4j2高危漏洞霸屏了,只要Log4j2版本低于2.14.1,就可能存在安全隐患。注意:Log4j是安全的,Log4j2跟Log4j相比,前者类路径中多了loggin。

Apache Log4j2远程代码执行漏洞编号:CVE-2021-44228

道高一尺,魔高一丈,Log4j2漏洞爆之后,网上已经有了Apache Log4j2漏洞的检测工具以及修复建议。

Log4j2 vuln detector | Log4j2 漏洞检测工具

https://log4j2-detector.chaitin.cn/

以Log4j 2.7版本为例,检测发现:log4j-api-2.7.jar是安全的,而有问题的是log4jcore-2.7.jar,请看我的检测结果:



Apache Log4j2修复方案(推荐2):

1、临时缓解方案

  • 在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true
  • 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
  • 创建 "log4j2.component.properties" 文件,文件中增加配置 "log4j2.formatMsgNoLookups=true"

2、彻底修复方案

  • 手动删除log4j-core-*.jar中org/apache/logging/log4j/core/lookup/JndiLookup.class,重启服务即可。
  • 升级到官方提供的 log4j-2.15.0-rc2 版本

点击这里复制本文地址 以上内容由莫古技术网整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
apache检测

相关文章

qrcode

莫古技术网 © All Rights Reserved.  滇ICP备2024046894号-2