7
线上有个Elasticsearch 用了受影响的log4j2
./lib/log4j-api-2.11.1.jar
./lib/log4j-core-2.11.1.jar
虽然可以通过升级jar包解决问题 但是生产环境是单点的 不是集群 重启的话 会有影响 故想问下能否通过arthas来动态添加这个配置
log4j2.formatMsgNoLookups=true
线上有个Elasticsearch 用了受影响的log4j2
./lib/log4j-api-2.11.1.jar
./lib/log4j-core-2.11.1.jar
虽然可以通过升级jar包解决问题 但是生产环境是单点的 不是集群 重启的话 会有影响 故想问下能否通过arthas来动态添加这个配置
log4j2.formatMsgNoLookups=true
用arthas把关键类热更新掉应该是可以的,要看下具体是哪些类。
反过来想,如果有黑客用arthas
把log4j
把原本打开的配置关上,就又能利用log4j
的安全漏洞
了,因此,是否有必要对热更新
功能,加个黑白名单
(感觉都不好加)。
甚至,对于已经修复漏洞的log4j
版本,利用arthas
,能否使修复漏洞的log4j
失效?