升级官方版本(推荐)
目前Apache官方已发布最新版升级包,Java7版本升级至log4j-2.12.4版本,Java8及以上版本升级至log4j-2.17.0版本,升级包中移除了对lookup功能的支持,默认禁用了JNDI方法。
移除Log4j包中JndiLookup类(可能存在未知影响)
移除log4j-core包中JndiLookup类文件,并重启服务,具体方法如下:
- Linux系统
1
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- Windows系统
jar包解压缩,删除org/apache/logging/log4j/core/lookup/路径下JndiLookup.class文件。
修改Log4j配置(需评估是否影响业务)
通过更改Log4j配置达到缓解作用,具体更改配置如下:
- JVM启动参数添加
-Dlog4j2.formatMsgNoLookups=True - 在应用classpath下添加
log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true
需注意该方法的两项措施在log4j-2.10.0以下版本无效,可采取第二种修复方式。