JAVA formatMsgNoLookups选项(CVE-2021-44228)

Question

当我跑的时候

$ java -XX:+UnlockDiagnosticVMOptions -XX:+PrintFlagsFinal -version | grep -i formatMsgNoLookups

输出中没有formatMsgNoLookups选项。这是否意味着我不容易受到CVE-2021-44228的攻击？

Answer 1

你把事情混为一谈。log4j2.formatMsgNoLookups是由log4j2日志库获取的一个系统属性。它不是JVM标志，不会被-XX:+PrintFlagsFinal打印。如果启用了它，那么log4j2就不会从格式消息中执行查找，这会通过禁用此攻击向量来减轻漏洞。

只有在您的Java应用程序中实际使用log4j2时，才能容易受到CVE-2021-44228的攻击。让我重复一遍:您的应用程序是易受攻击的，而不是Java或JVM本身。在同一个JVM上，一个应用程序可能易受攻击，而另一个应用程序则不容易受到攻击。

(如果是的话，如果没有，则表示相反:您易受攻击)