很多小伙伴因为Log4j2的惊爆0Day漏洞一时束手无策，这里提供最终解决方案可以进行一个版本号的升级，步骤如下

 

　　<properties>

 

　　<log4j2.version>2.15.0</log4j2.version>

 

　　</properties>

 

　　一、下面为上边对应版本号的具体依赖

 

　　<dependency>

 

　　<groupId>org.apache.logging.log4j</groupId>

 

　　<artifactId>log4j-api</artifactId>

 

　　<version>2.15.0</version>

 

　　</dependency>

 

　　<dependency>

 

　　<groupId>org.apache.logging.log4j</groupId>

 

　　<artifactId>log4j-to-slf4j</artifactId>

 

　　<version>2.15.0</version>

 

　　</dependency>

 

　　二、修改完后，点击右侧的maven刷新按钮

 

　　三、如何验证版本号是否修改成功呢，见下图

 

　　四、临时性解决方法

 

　　临时性缓解措施（任选一种，但是注意，只有 >=2.10.0 版本才可以用，老版本不支持这个选项）

 

　　– 在 jvm 参数中添加 -Dlog4j2.formatMsgNoLookups=true

 

　　– 系统环境变量中将LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true

 

　　– 创建 log4j2.component.properties 文件，文件中增加配置 log4j2.formatMsgNoLookups=true

 

　　五、攻击者排查

 

　　1.攻击者在利⽤前通常采⽤ dnslog ⽅式进⾏扫描、探测，对于常⻅利⽤ ⽅式可通过应⽤系统报错⽇志中的"javax.naming.CommunicationException:javax.naming.NamingException:

 

　　problem generating object using object factory"、Error looking up JNDI

 

　　resource"关键字进⾏排查。

 

　　2.流量排查：攻击者的数据包中可能存在：jndi:ldap字 样，推荐使⽤奇安信⽹神⽹站应⽤安全云防护系统全流量或 WAF 设备进⾏检索排查。

 

　　3.⽇志排查：可使⽤ https://github.com/Neo23x0/log4shell-detector 开源项 ⽬，对 WEB 应⽤⽇志进⾏检查。

 

　　Mon 06

 

　　Mon 13

 

　　Mon 20

 

　　已完成

 

　　进行中

 

　　计划一

 

　　计划二

 

　　现有任务

 

　　Love is just a word I only say one word

 

　　知名的Java日志组件Apache Log4j2就刷爆了圈子。它被发现了一个 0 Day 漏洞，该Log4J2 漏洞可以让黑客通过日志记录远程执行代码（Remote Code Execution）。由于这个日志库被普遍使用，而这个漏洞又非常容易使用，所以造成的风险也非常严重，让人不得不提高防范。就连不懂代码的客户都来问系统是否存在这个问题。