【漏洞修复】Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)

发布时间:2024年01月23日

摘要

本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统,修复Log4漏洞。

问题描述

Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。Apache Log4j2存在远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

修复方法

方法一:升级log4j版本

Java 6 将 log4j 升级到 2.3.1 版本,Java 7 将 log4j 升级到 2.12.3 版本,Java 8 或更高版本将 log4j 升级到 2.17.0 版本,下载地址:https://logging.apache.org/log4j/2.x/download.html

方法二:删除类文件

若暂时无法升级,删除jar包中漏洞相关的JndiLookup.class文件: zip -q -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

实际操作(方法二)

1.连接服务器 进入目录
???? cd /CloudResetPwdUpdateAgent/lib/
2. 查看目录下文件,并记录文件log4j-core-x.xx.x.jar的版本号
??? ls
3. 根据步骤2执行命令
??? zip -q -d log4j-core-x.xx.x.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

选项说明:

-q 表示 "quiet",即不输出任何信息到标准输出设备(通常是终端),只输出错误和警告信息

-d 表示 "delete",即删除 JAR 包中指定的文件或目录。

例如:zip -q -d log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

文章来源:https://blog.csdn.net/m0_52985087/article/details/135772182
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。