java服务log4j漏洞处理方式

方式一

./logstash-6.2.2/logstash-core/lib/jars/log4j-core-2.9.1.jar ./logstash-6.2.2/logstash-core/lib/jars/log4j-core-2.9.1.jar.old
mkdir jar && cp ./logstash-6.2.2/logstash-core/lib/jars/log4j-core-2.9.1.jar jar/
cd jar/
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
cp log4j-core-2.9.1.jar ../logstash-6.2.2/logstash-core/lib/jars/

重启服务并检查状态正常即可

 

方式二

1. 对于 2.10 以下版本，建议升级至最新版 log4j-2.15.0-rc22.
2. 对于 2.10 及以上版本版本，有如下缓解措施：

A.设置 jvm 参数 “-Dlog4j2.formatMsgNoLookups=true”

B.在项目 classpath 目录下添加 log4j2.component.properties 配置文件，设置 log4j2.formatMsgNoLookups=trueC. 设置系统环境变量：“LOG4J_FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS” 设置为 “true”