标签：core JndiLookup 漏洞 版本升级 lookup 版本 Apache log4j

一、升级官方版本（推荐）

目前Apache官方已发布最新版升级包，JAVA7版本升级至log4j 2.12.4版本，JAVA8及以上版本升级至log4j 2.17.0版本，升级包中移除了对lookup功能的支持，默认禁用了JNDI方法，该方法目前已经通过我行测试确认可修复。

二、移除log4j包中JndiLookup类（可能存在未知影响）

移除log4j-core包中JndiLookup类文件，并重启服务，具体方法如下：

Linux系统:

zip -q -d log4j-core-*.jar   org/apache/logging/log4j/core/lookup/JndiLookup.class

Windows系统：

jar包解压缩，删除org/apache/logging/log4j/core/lookup/路径下 JndiLookup.class文件

三、修改Log4j配置（需评估是否影响业务）

通过更改log4j配置达到缓解作用，具体更改配置如下：

（一）jvm启动参数添加：

-Dlog4j2.formatMsgNoLookups=True

（二）在应用classpath下添加

log4j2.component.properties配置文件，文件内容为log4j2.formatMsgNoLookups=true；

需注意该方法的两项措施在log4j 2.10.0以下版本无效，可采取第二种修复方式。

标签：core,JndiLookup,漏洞,版本升级,lookup,版本,Apache,log4j
来源： https://blog.csdn.net/zhangmingcai/article/details/122407246

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。