log4j2漏洞

48 阅读 0 评论 32 点赞

我是靠谱客的博主拼搏摩托，最近开发中收集的这篇文章主要介绍log4j2漏洞，觉得挺不错的，现在分享给大家，希望可以做个参考。

1、实验

实验对象：

Log4j2版本（注意不是log4j1.x版本）

实验版本：

Jdk1.8.131 log4j-core2.11.1

问题代码：

${date:YYYY-MM-dd}被解析成时间2022-04-06

1、设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

2、（推荐）设置“log4j2.formatMsgNoLookups=True”

以第二条方案为例，亲测有效：

执行后效果：

同时升级logj-api和log4j-core至2.17.1及其以上版本（在不报错的情况下，log4j-to-slf4j不强制要求升级）

（1）注意：

log4j-core包含log4j-api，因此pom.xml文件只需添加如下配置，就可以同时下载或更新log4j-core包含log4j-api

（2）注意：如果pom.xml文件中同时存在log4j-api和log4j-core配置，那么你不能只升级log4j-core，而不升级log4j-api，如下：

否则会有如下报错：

最终升级后的效果如下：

以上就是拼搏摩托为你收集整理的log4j2漏洞的全部内容，希望文章能够帮你解决log4j2漏洞所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供，作为学习参考使用，或来自网络收集整理，版权属于原作者所有。