log4j 漏洞

log4j 漏洞 关于Apache Log4j2存在远程代码执行的漏洞临时缓解措施内容有更新。

1、Apache Log4j 2.10以下版本（2.0-2.9）无配置开关，暂不能通过三种临时修复方案规避风险；

2、2.10及以上版本，针对修改环境变量的修复方案，需设置LOG4J_log4j2_formatMsgNoLookups=True，配置FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS无效；

3、所有版本中，如果业务无需使用JNDI，可直接删除JAR包中的类：org/apache/logging/log4j/core/lookup/JndiLookup.class，不会引起Log4j功能异常；

4、WAF设备可自定义配置全局拦截策略："${jndi:}"字样，可与此字符串的URL编码完整配置。

突发！Log4j 爆“核d级”漏洞，Flink、Kafka等至少十多个项目受影响

Apache Log4j远程代码执行漏洞 | 二次安全通告