Apache Log4j2高危漏洞解决方案（新）

Apache Log4j2高危漏洞解决方案（新） 更多内容关注微信公众号：fullstack888

漏洞级别

严重

影响版本

Apache Log4j 2.x < 2.15.0-rc2

影响范围

spring-boot-starter-log4j2、Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响

漏洞描述

Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。此次漏洞是由阿里云安全团队向Apache官方报告的。

解决方案

目前最新的结论还是0day，官方发布的两个版本2.15.0-rc1和最新的2.15.0-rc2都被绕过，官方没有升级包可用。暂时可以通过如下三种解决方案解决该漏洞：

（1） 修改项目 jvm 参数：-Dlog4j2.formatMsgNoLookups=true

（2） 修改log4j2配置参数：log4j2.formatMsgNoLookups=True

（3）修改系统环境变量：FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置 为 true

注：可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上，可以在一定程度上限制JNDI等漏洞利用方式。

源码分析

详情查看：org.apache.logging.log4j.core.pattern.MessagePatternConverter

上述的3个解决方法都是保证在代码执行过程中，代码走如下路径。这样就能避免漏洞的危害。

0 day可能大家会比较陌生，大概意思是目前官方没有修复的版本发布。

最后，我们还是要等待官方修复，大家可以持续关注：
https://github.com/apache/logging-log4j2/tags

如果有新版本，可以让公司的安全团队重新评估后，再考虑是否升级。

- END -

往期回顾

◆作为技术负责人，如何从0搭建公司后端技术栈

◆vivo AI 计算平台 kubernetes 集群d性伸缩实践

◆MySQL 主键的重要度

◆如何画出一张优秀的架构图（老鸟必备）

◆阿里Oceanbase GitHub点赞送礼事件

◆石墨文档 Websocket 百万长连接技术实践

◆分布式事务框架Seata原理解析
◆三大运营商实现本机号码一键登录原理与应用

技术交流，请加微信： jiagou6688 ，备注：Java，拉你进架构群