Apache Log4j2 報核彈級漏洞，棧長的朋友圈都炸鍋了，很多程序猿都熬到半夜緊急上線，昨晚你睡了嗎？？

Apache Log4j2 是一個基于Java的日志記錄工具，是 Log4j 的升級，在其前身Log4j 1.x基礎上提供了 Logback 中可用的很多優化，同時修復了Logback架構中的一些問題，是目前最優秀的 Java日志框架之一。

此次 Apache Log4j2 漏洞觸發條件為只要外部用戶輸入的數據會被日志記錄，即可造成遠程代碼執行。

影響版本

2.0 <= Apache log4j2 <= 2.14.1

最新官方補丁

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

臨時解決方案

1）設置 jvm 參數：

-Dlog4j2.formatMsgNoLookups=true

2）日志設置：

log4j2.formatMsgNoLookups=True

3）設置系統環境變量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true

4）關閉對應的應用程序的網絡外網連接，并且禁止主動外連

參考：https://github.com/apache/logging-log4j2

還沒升級的，趕緊檢查修復，以免造成損失。。

總結補充資料：

漏洞修復方案：

Apache官方已發布補丁，騰訊安全專家建議受影響的用戶盡快升級到安全版本。

補丁下載地址：
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

漏洞緩解措施：

（1）jvm參數 -Dlog4j2.formatMsgNoLookups=true

（2）log4j2.formatMsgNoLookups=True