1、实验
实验对象:
Log4j2版本(注意不是log4j1.x版本)
实验版本:
Jdk1.8.131 log4j-core2.11.1
问题代码:
${date:YYYY-MM-dd}被解析成时间2022-04-06
2、临时解决方案:
1、设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”
2、(推荐)设置“log4j2.formatMsgNoLookups=True”
以第二条方案为例,亲测有效:
执行后效果:
3、最终解决方案
同时升级logj-api和log4j-core至2.17.1及其以上版本(在不报错的情况下,log4j-to-slf4j不强制要求升级)
(1)注意:
log4j-core包含log4j-api,因此pom.xml文件只需添加如下配置,就可以同时下载或更新log4j-core包含log4j-api
(2)注意:如果pom.xml文件中同时存在log4j-api和log4j-core配置,那么你不能只升级log4j-core,而不升级log4j-api,如下:
否则会有如下报错:
最终升级后的效果如下:
最后
以上就是拼搏摩托最近收集整理的关于log4j2漏洞的全部内容,更多相关log4j2漏洞内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
![系统日志分类别输出至日志文件[Log4j应用]](https://file2.kaopuke.com:8081/files_image/reation/bcimg6.png)
![vulfocus[weblogic反序列化]](https://file2.kaopuke.com:8081/files_image/reation/bcimg10.png)
发表评论 取消回复