一、日志漏洞,劲爆来袭
近日,Apache Log4j2 的远程代码执行漏洞刷爆网络,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,Apache Log4j2可是全民级的日志组件,百分之九十的java项目,都是通过log4j2输出日志的,甚至BAT大厂也是如此,很多互联网企业也都连夜做了应急措施。据说是阿里团队发现的,再次膜拜阿里爸爸。
二、漏洞详情
打印日志时,如果是一段可执行的代码或超链,就会有被执行的可能,类似于sql注入,秒懂没?
这可能导致服务器被黑客控制,从而进行页面篡改、数据被盗、网络瘫痪等行为。
三、解决方案
1、民间解决方案:
- 升级到最新版,log4j2最新版下载地址,由于事态紧急,小编也没有进行实际的测试。
- 对日志进行加密解密操作,纳尼?对日志进行加密解密?那岂不是很耗费性能。
2、官方解决方案:
- 禁止没必要的外网访问;
- 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true” 在应用 classpath下添加 log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;
- 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”
扫码加入技术交流群!
关注微信公众号,回复1024,获取Java思维导图
