今天谷浅,收到騰訊云安全扒俯,關(guān)于Apache Log4j 2漏洞的提醒通知。我相信一疯,很多人都收到撼玄,并且還突然間緊張起來。
其實(shí)墩邀,騰訊云也及時(shí)的提供了對(duì)應(yīng)的解決方案掌猛。 不得不說,大廠就是敏銳和及時(shí)眉睹。在此,點(diǎn)個(gè)贊。具體如下:
Apache Log4j 2是一個(gè)開源的日志記錄組件五垮,使用非常的廣泛匆篓。在工程中以易用方便代替了 System.out 等打印語句,它是JAVA下最流行的日志輸入工具。使用 Log4j 2 在一定場(chǎng)景條件下處理惡意數(shù)據(jù)時(shí),可能會(huì)造成注入類代碼執(zhí)行。
由于Log4j2 作為日志記錄基礎(chǔ)第三方庫灌闺,被大量Java框架及應(yīng)用使用,只要用到 Log4j2 進(jìn)行日志輸出且日志內(nèi)容能被攻擊者部分可控坏瞄,即可能會(huì)受到漏洞攻擊影響桂对。因此,該漏洞也同時(shí)影響全球大量通用應(yīng)用及組件惦积,例如 :
Apache Struts2
Apache Solr
Apache Druid
Apache Flink
Apache Flume
Apache Dubbo
Apache Kafka
Spring-boot-starter-log4j2
ElasticSearch
Logstash
…
建議及時(shí)檢查并升級(jí)所有使用了 Log4j最新版本接校。
不知道大家有沒有發(fā)現(xiàn),這次的Log4j2狮崩, 其實(shí)并不是Spring Boot默認(rèn)使用的日志組件蛛勉,Spring Boot默認(rèn)使用Logback。所以大家不用驚慌睦柴,可以先檢查自己的系統(tǒng)的日志組件诽凌,如果沒有用到Log4j2的先可以先看會(huì)熱鬧了。
最后坦敌,推薦大家的解決方案:
在Maven的pom配置文件中增加一個(gè)這樣配置即可
<properties>? ? ? ? <log4j2.version>2.15.0</log4j2.version></properties>
注意:注意版本號(hào)必須要2.15.0侣诵。
最后,嘗試恭祝你成功狱窘!
