首页  

Log4j2 lookup 安全漏洞     所属分类 log4j2 浏览量 577
Log4j2  lookup 功能 
通过一些协议去读取相应环境中的配置
打印日志时,如果发现日志内容中包含关键词 ${
包含的内容会当做变量来进行替换,导致攻击者可以任意执行命令

可以说是灾难性的漏洞,比之前的 fastjson 和 shiro 还要严重,这个漏洞估计在之后三四年内还会继续存在

紧急缓解措施
修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
修改配置 log4j2.formatMsgNoLookups=True
将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

上一篇     下一篇
网络流行语

linux 获取进程工作目录

日志框架关键组件

nginx常用优化

JFR实战

log4j2使用要点