Apache Log4j2 が核レベルの脆弱性と迅速な修正を報告

Apache Log4j2 が核レベルの脆弱性を報告し、スタックリーダーの友人たちは大騒ぎになりました。多くのプログラマーが緊急にオンラインになるために夜中まで起きていました。昨夜は眠れましたか? ?

Apache Log4j2 は Java ベースのログ ツールであり、Log4j のアップグレード版です。前身の Log4j 1.x をベースに Logback で利用可能な多くの最適化を提供し、Logback アーキテクチャの問題をいくつか修正しています。現在、最も優れた Java ログ フレームワークの 1 つです。

この Apache Log4j2 の脆弱性の発動条件は、外部ユーザーが入力したデータがログに記録される限り、リモート コード実行が引き起こされる可能性があることです。

影響を受けるバージョン

2.0 <= Apache log4j2 <= 2.14.1

最新の公式パッチ

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

一時的な解決策

1) jvmパラメータを設定します。

-Dlog4j2.formatMsgNoLookups=true

2) ログ設定:

log4j2.formatMsgNoLookups=True

3) システム環境変数を設定します。

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4) 対応するアプリケーションの外部ネットワーク接続を閉じ、アクティブな外部接続を禁止する

参考: https://github.com/apache/logging-log4j2

まだアップグレードしていない場合は、損失を避けるためにすぐに確認して修復してください。 。

追加情報の要約:

脆弱性の修正:

Apache は正式にパッチをリリースしており、Tencent のセキュリティ専門家は、影響を受けるユーザーに対し、できるだけ早く安全なバージョンにアップグレードすることを推奨しています。

パッチダウンロードアドレス:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

脆弱性緩和策:

（1）JVMパラメータ -Dlog4j2.formatMsgNoLookups=true

（2）log4j2.formatMsgNoLookups=True

速報は以上です！ Apache Log4j2 の核レベルの脆弱性を迅速に修正する方法についての記事はこれで終わりです。Apache Log4j2 の核レベルの脆弱性の詳細については、123WORDPRESS.COM の以前の記事を検索するか、以下の関連記事を引き続き参照してください。今後とも 123WORDPRESS.COM をよろしくお願いいたします。