[alibaba/arthas]动态添加log4j配置修复log4j远程执行漏洞

2024-07-09 612 views
7

线上有个Elasticsearch 用了受影响的log4j2

./lib/log4j-api-2.11.1.jar
./lib/log4j-core-2.11.1.jar

虽然可以通过升级jar包解决问题 但是生产环境是单点的 不是集群 重启的话 会有影响 故想问下能否通过arthas来动态添加这个配置

log4j2.formatMsgNoLookups=true

回答

2

用arthas把关键类热更新掉应该是可以的,要看下具体是哪些类。

9

反过来想,如果有黑客用arthaslog4j把原本打开的配置关上,就又能利用log4j安全漏洞了,因此,是否有必要对热更新功能,加个黑白名单(感觉都不好加)。

7

甚至,对于已经修复漏洞的log4j版本,利用arthas,能否使修复漏洞的log4j失效?