org.apache.log4j.logger_apache解除80端口占用

(3) 2024-06-16 11:12

Hi,大家好,我是编程小6,很荣幸遇见你,我把这些年在开发过程中遇到的问题或想法写出来,今天说一说
org.apache.log4j.logger_apache解除80端口占用,希望能够帮助你!!!。

漏洞描述】
log4j2是apache实现的一个开源日志组件。2021年12月9日Apache Log4j 2被披露出存在严重的远程代码执行漏洞。该日志框架被大量用于业务系统开发,用来记录日志信息。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。log4j2属于第三方组件库,被大量Java框架应用使用,即Apache Struts2、Apache Solr、Apache Druid、Apache Flink、Apache Dubbo、Apache Kafka、Spring-boot-starter-log4j2等应用均受影响。经京东云安全团队研判后,认定该漏洞影响范围广,漏洞危害极大。
【风险等级】
威胁等级: 严重
影响范围: 广泛
利用难度: 简单
【影响版本】Apache Log4j 2.x <= 2.14.1
【安全版本】log4j-2.15.0-rc2
【修复建议】
1、 排查Java应用是否引入 log4j-api , log4j-core 两个jar,及/Apache Solr/Apache Flink/Apache Druid/Apache Dubbo/srping-boot-strater-log4j2等应用和组件,请及时检查所有相关应用升级到最新版本。官方补丁 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、 紧急缓解措施:
(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2) 修改配置log4j2.formatMsgNoLookups=True
(3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
官方链接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

今天的分享到此就结束了,感谢您的阅读,如果确实帮到您,您可以动动手指转发给其他人。

上一篇

已是最后文章

下一篇

已是最新文章

发表回复