Log4j-2远程代码执行漏洞解决方案

漏洞简述：

漏洞是12月9日曝出来的，如果发现日志内容中包含关键字 ${}，其包含的内容会当做变量来进行替换，导致攻击者可以任意执行命令。

解决方案：

① 将版本升级至2.15.0-rc2版本

② 添加JVM参数-Dlog4j2.formatMsgNoLookups=true

③ 设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

④ 创建配置文件log4j2.component.properties，设置配置项log4j2.formatMsgNoLookups=true

建议：Status2、Druid、Dubbo、ElasticSearch、Redis、Kafka等开源项目都受影响，所以你的项目如果有用到如上应用，则即使你没有使用Log4j-2也会受到影响。