知名Java日志组件Log4j2爆出严重0 day漏洞，连我们客户都来问中招了没

PHP小丑

今天早上醒来，知名的Java日志组件Apache Log4j2就刷爆了圈子。它被发现了一个 0 Day 漏洞，该Log4J2 漏洞可以让黑客通过日志记录远程执行代码（Remote Code Execution）。由于这个日志库被普遍使用，而这个漏洞又非常容易使用，所以造成的风险也非常严重，让人不得不提高防范。就连不懂代码的客户都来问系统是否存在这个问题。

受影响的版本
受本次漏洞影响的版本范围为Apache log4j2 2.0 - 2.14.1。

安全版本
正式补丁版本2.15.0已发布，请立即升级。

<dependencies>  <dependency>  <groupId>org.apache.logging.log4j</groupId>  <artifactId>log4j-api</artifactId>  <version>2.15.0</version>  </dependency>  <dependency>  <groupId>org.apache.logging.log4j</groupId>  <artifactId>log4j-core</artifactId>  <version>2.15.0</version>  </dependency></dependencies>

临时补救措施
不是所有的应用和使用者都能及时升级到安全版本。目前也有临时的补救措施。

修改JVM参数,设置 -Dlog4j2.formatMsgNoLookups=true。
在涉及漏洞的项目的类路径（classpath）下增加log4j2.component.properties配置文件并增加配置项log4j2.formatMsgNoLookups=true。

不要小看这个漏洞
因为log4j的使用范围太广了，很多应用都中招了。
连Minecraft 游戏的PaperMC服务器都未能幸免。所以赶紧排查打补丁吧。

[其他] 知名Java日志组件Log4j2爆出严重0 day漏洞，连我们客户都来问中招了没

相关帖子

浏览过的版块

千亿级、大规模：腾讯超大 Apache Pulsar 集群性能调优实践

Java多线程超级详解(只看这篇就够了)

Java NIO全面详解(看这篇就够了)

如何正确的中断线程？你的姿势是否正确

SPI：Java的高可扩展利器

Java面试为何阿里强制要求不在foreach里执行删除操作

图解Java排序算法之希尔排序

图解Java排序算法之快速排序的三数取中法

图解Java排序算法之堆排序

用Java8 stream处理数据

PHP小丑 LV3