版本2.16.0中的Log4j2可变性
版本2.16.0中的Log4j2可变性
提问于 2021-12-16 16:40:19
我们的系统是一个基于微服务的系统。它拥有120多项服务。建议我们将微服务中的log4j版本升级到2.16.0,以减轻最近的log4j漏洞。目前,我们的服务使用2.11.2版本。我们不能只用-Dlog4j2.formatMsgNoLookups=true来减轻这些漏洞吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2021-12-16 16:46:41
查看Apache Log4j安全漏洞页面,特别是“Log4j 2.12.2和Log4j 2.16.0”标题下的解释。
它解释说,即使在2.15.0中,它对CVE-2021-44228进行了最初的修复,但可能仍然存在问题,它有一个新的ID:CVE-2021-45046
请注意,以前涉及配置的缓解措施(例如将系统属性log4j2.formatMsgNookup设置为true )并不能减轻此特定漏洞。
为了保护自己不受新的CVE的影响,更新到2.16.0。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/70382613
复制相关文章
相似问题
腾讯云开发者
