Apache Log4j2远程代码执行漏洞彻底修复建议

这两天网上被Apache Log4j2高危漏洞霸屏了，只要Log4j2版本低于2.14.1，就可能存在安全隐患。注意：Log4j是安全的，Log4j2跟Log4j相比，前者类路径中多了loggin。

Apache Log4j2远程代码执行漏洞编号：CVE-2021-44228

道高一尺，魔高一丈，Log4j2漏洞爆之后，网上已经有了Apache Log4j2漏洞的检测工具以及修复建议。

Log4j2 vuln detector | Log4j2 漏洞检测工具

https://log4j2-detector.chaitin.cn/

以Log4j 2.7版本为例，检测发现：log4j-api-2.7.jar是安全的，而有问题的是log4jcore-2.7.jar，请看我的检测结果：

Apache Log4j2修复方案（推荐2）：

1、临时缓解方案

• 在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true
• 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
• 创建 "log4j2.component.properties" 文件，文件中增加配置 "log4j2.formatMsgNoLookups=true"

2、彻底修复方案

• 手动删除log4j-core-*.jar中org/apache/logging/log4j/core/lookup/JndiLookup.class，重启服务即可。
• 升级到官方提供的 log4j-2.15.0-rc2 版本