我们的系统是一个基于微服务的系统。它有120多项服务。我们被建议将微服务中的log4j版本升级到2.16.0,以缓解最近的log4j漏洞。目前,我们的服务使用2.11.2版本。难道我们不能仅仅使用-Dlog4j2.formatMsgNoLookups=true来缓解这些漏洞吗。
查看Apache Log4j安全漏洞页面,尤其是标题"在Log4j 2.12.2和Log4j 2.16.0"中固定;。
它解释说,即使在最初修复CVE-2021-44228的2.15.0版本中,也有可能出现问题,它有一个新的ID:CVE-2021-4 5046
请注意,以前涉及配置的缓解措施(如将系统属性log4j2.formatMsgNoLookups设置为true(并不能缓解此特定漏洞。
为了保护自己免受新CVE的影响,请更新至2.16.0。