Apache Log4j2 meldet eine Sicherheitslücke auf Nuklearebene und eine schnelle Lösung

Apache Log4j2 meldete eine Sicherheitslücke auf nuklearer Ebene und der Freundeskreis des Stackleaders geriet in Aufruhr. Viele Programmierer blieben bis Mitternacht wach, um dringend online zu gehen. Hast du letzte Nacht geschlafen? ?

Apache Log4j2 ist ein Java-basiertes Protokollierungstool und ein Upgrade von Log4j. Es bietet viele in Logback verfügbare Optimierungen auf Basis seines Vorgängers Log4j 1.x und behebt einige Probleme in der Logback-Architektur. Es ist derzeit eines der besten Java-Protokollierungsframeworks.

Die auslösende Bedingung für diese Apache Log4j2-Sicherheitslücke besteht darin, dass, solange die von externen Benutzern eingegebenen Daten protokolliert werden, eine Remotecodeausführung verursacht werden kann.

Betroffene Versionen

2.0 <= Apache log4j2 <= 2.14.1

Neuester offizieller Patch

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

Temporäre Lösung

1) JVM-Parameter festlegen:

-Dlog4j2.formatMsgNoLookups=true

2) Protokolleinstellungen:

log4j2.formatMsgNoLookups=True

3) Legen Sie die Systemumgebungsvariablen fest:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = wahr

4) Schließen Sie die externe Netzwerkverbindung der entsprechenden Anwendung und verbieten Sie aktive externe Verbindungen

Referenz: https://github.com/apache/logging-log4j2

Wenn Sie noch kein Upgrade durchgeführt haben, überprüfen und reparieren Sie es bitte umgehend, um Verluste zu vermeiden. .

Zusammenfassung weiterer Informationen:

Behebung der Sicherheitslücke:

Apache hat offiziell einen Patch veröffentlicht und die Sicherheitsexperten von Tencent empfehlen betroffenen Benutzern, so schnell wie möglich auf eine sichere Version zu aktualisieren.

Patch-Download-Adresse:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

Maßnahmen zur Minderung von Sicherheitslücken:

(1) JVM-Parameter -Dlog4j2.formatMsgNoLookups=true

(2) log4j2.formatMsgNoLookups=True

Das sind alle aktuellen Nachrichten! Dies ist das Ende des Artikels zur schnellen Behebung der Apache Log4j2-Sicherheitslücke auf nuklearer Ebene. Weitere Informationen zur Apache Log4j2-Sicherheitslücke auf nuklearer Ebene finden Sie in den vorherigen Artikeln von 123WORDPRESS.COM oder in den folgenden verwandten Artikeln. Ich hoffe, Sie werden 123WORDPRESS.COM auch in Zukunft unterstützen!