一、引言&背景   完成度：100%

a) 问题&时间线

1. 开始知道Log4J漏洞是公司的安全邮件：大约是21年12月10号下午收到的邮件，知道了这个组件的漏洞，
2. 我是在11号下午对Log4J组件做的修复（实际上时间已经晚了，我们另一个Java团队就在10号晚上当天做了升级）：我们主要是使用的.Net技术堆栈，少部分使用的是Python、Java Spring Boot的WebAPI结构，后来和几个搞网安的朋友以及搞Java的朋友讨论了一下，并且参加了公司组织的安全运维的会议，制定了解决方案，最后用长亭的工具扫描了没问题了，汇报了老板，
3. 那么写这篇文章时间现在已经是元旦了，确实很晚了，之前忙于开发任务没时间写博文，现在元旦得空了写写记录一下，相信很多朋友已经经历完了这个漏洞，如果还有朋友没搞得，希望也能帮助一点吧~??????

b) Log4J漏洞影响范围

1. 使用了Log4J版本大于2.0且小于 2.15.0-rc1，
2. 使用Apache Log4j 1.X版本的应用，若开发者对JMS Appender利用不当，可对应用产生潜在的安全影响，

c) 解决思路

1. 先根据Log4J的影响范围，需要确认项目中是否使用了Log4J组件，手动检查Maven的依赖项，以及依赖项的依赖项中是否存在，详情可见第二章的一种方法，当然也有很多办法都可以参考，
2. 若使用了Log4J组件，且版本在漏洞影响范围内，则需制定方案，
3. 【方案1】按照Log4J2最新推出的版本进行升级，升级到Apache官方打Patch的版本，
4. 【方案2】替换掉Log4J的组件，一Java朋友建议替换成LogBack，
5. 【方案3-缓解措施】添加jvm启动自变量:-Dlog4j2.formatMsgNoLookups=true;在应用classpath下添加log4j2.component.properties组态档，档案内容为：log4j2.formatMsgNoLookups=true；JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；限制受影回应用对外访问互联网，并在边界对dnslog相关域名访问进行检测，
6. 通过一个安全运维大佬们都推荐的链接：https://log4j2-detector.chaitin.cn/，下载侦测工具，检验下效果，我用的是V2版本的侦测工具，

二、检查依赖项中是否依赖了Log4J   完成度：100%

记一个方法，IDEA的可视化工具，可以反馈出依赖项是否又依赖了Log4J，在Maven项目中右击Show Dependencies，

显示如下图：

三、侦测工具侦测结果   完成度：100%

使用了侦测工具扫描结果如图：

四、宣告与参考资料   完成度：100%

原创博文，未经许可请勿转载，

如有帮助，欢迎点赞、收藏、关注，如有问题，请评论留言！如需与博主联系的，直接博客私信SCscHero即可，