这两天网上被Apache Log4j2高危漏洞霸屏了,只要Log4j2版本低于2.14.1,就可能存在安全隐患。注意:Log4j是安全的,Log4j2跟Log4j相比,前者类路径中多了loggin。
Apache Log4j2远程代码执行漏洞编号:CVE-2021-44228
道高一尺,魔高一丈,Log4j2漏洞爆之后,网上已经有了Apache Log4j2漏洞的检测工具以及修复建议。
Log4j2 vuln detector | Log4j2 漏洞检测工具
https://log4j2-detector.chaitin.cn/
以Log4j 2.7版本为例,检测发现:log4j-api-2.7.jar是安全的,而有问题的是log4jcore-2.7.jar,请看我的检测结果:
Apache Log4j2修复方案(推荐2):
1、临时缓解方案
- 在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true
- 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
- 创建 "log4j2.component.properties" 文件,文件中增加配置 "log4j2.formatMsgNoLookups=true"
2、彻底修复方案
- 手动删除log4j-core-*.jar中org/apache/logging/log4j/core/lookup/JndiLookup.class,重启服务即可。
- 升级到官方提供的 log4j-2.15.0-rc2 版本