🤞 Персональная домашняя страница:@青城Sequencer Stone
🤞 Преимущества вентилятора:Добавить фан-базуОтвечайте на вопросы один на один, получайте бесплатные богатые шаблоны резюме, улучшайте учебные материалы и т. д. и станьте королем новой эры!
Apache Log4j2 — это инструмент ведения журнала на основе Java, являющийся обновлением Log4j. Основанный на своем предшественнике, Log4j 1.x, Apache Log4j2 обеспечивает множество оптимизаций, доступных в Logback, и устраняет некоторые проблемы в архитектуре Logback. В настоящее время это лучший Java One из каркасы журналирования. Структура журнала широко используется при разработке бизнес-систем для записи информации журнала. Разработчики могут регистрировать ошибки, вызванные действиями пользователя.
Условие срабатывания этой уязвимости Apache Log4j2 заключается в том, что пока данные, вводимые внешним пользователем, будут регистрироваться, это может привести к удаленному выполнению кода.
Воздействовать на версию
2.0 <= Apache log4j2 <= 2.14.1
официальный патч
Временное решение первое
-
Установите параметр jvm "-Dlog4j2.formatMsgNoLookups = true"
-
установить "log4j2.formatMsgNoLookups = True"
-
Переменная системной среды «FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS» имеет значение «истина».
-
Закройте внешнее сетевое соединение соответствующего приложения и запретите активное внешнее соединение.
Временное решение два
Есть и другие решения по обновлению версии, а сейчас на центральном складе не выпущена версия, можно зайти наGitHubЗагрузите исходный код и временно скомпилируйте, упакуйте и замените.
Статья воспроизводится, пожалуйста, перейдите, чтобы прочитать исходный текстУязвимость Apache Log4j2, связанная с удаленным выполнением кода | Обнаружение службы поддержки Microsoft Security Product
Мальчик, ты не можешь видеть достаточно? нажмите на каменьПодробное описание, Просто нажмите и посмотрите, может быть, будут сюрпризы? Добро пожаловать в поддержкуНравится/подписывайтесь/комментируйте, ваша поддержка — моя самая большая мотивация для Gengwen, спасибо!