本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统,修复Log4漏洞。
Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。Apache Log4j2存在远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
Java 6 将 log4j 升级到 2.3.1 版本,Java 7 将 log4j 升级到 2.12.3 版本,Java 8 或更高版本将 log4j 升级到 2.17.0 版本,下载地址:https://logging.apache.org/log4j/2.x/download.html
若暂时无法升级,删除jar包中漏洞相关的JndiLookup.class文件: zip -q -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
1.连接服务器 进入目录
???? cd /CloudResetPwdUpdateAgent/lib/
2. 查看目录下文件,并记录文件log4j-core-x.xx.x.jar的版本号
??? ls
3. 根据步骤2执行命令
??? zip -q -d log4j-core-x.xx.x.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
选项说明:
-q 表示 "quiet",即不输出任何信息到标准输出设备(通常是终端),只输出错误和警告信息
-d 表示 "delete",即删除 JAR 包中指定的文件或目录。
例如:zip -q -d log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class