7
线上有个Elasticsearch 用了受影响的log4j2
./lib/log4j-api-2.11.1.jar
./lib/log4j-core-2.11.1.jar虽然可以通过升级jar包解决问题 但是生产环境是单点的 不是集群 重启的话 会有影响 故想问下能否通过arthas来动态添加这个配置
log4j2.formatMsgNoLookups=trueQ
[alibaba/arthas]动态添加log4j配置修复log4j远程执行漏洞
A
回答
8
用arthas把关键类热更新掉应该是可以的,要看下具体是哪些类。
5
反过来想,如果有黑客用arthas把log4j把原本打开的配置关上,就又能利用log4j的安全漏洞了,因此,是否有必要对热更新功能,加个黑白名单(感觉都不好加)。
6
甚至,对于已经修复漏洞的log4j版本,利用arthas,能否使修复漏洞的log4j失效?