快速修复 Log4j2 远程代码执行漏洞步骤
目录
- 漏洞说明
- 修复步骤
- 下载源码zip包到本地
- 解压到本地
- 用IDEA打开项目
- 执行Maven Deploy,将log4j2修复的版本包安装到Nexus
- 修改项目中的pom.xml
- 测试验证
Apache Log4j2 远程代码执行漏洞修复步骤
漏洞说明
Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。
修复步骤
1、下载源码zip包到本地
下载地址:
github.com/apache/logging-log4j2/archive/refs/tags/log4j-2.15.0-rc2.zip
2、解压到本地
3、用IDEA打开项目
4、执行Maven Deploy,将log4j2修复的版本包安装到Nexus
1.修改toolchains-sample-win.xml文件的JDK安装路径:
<toolchain>
<type>jdk</type>
<provides>
<version>1.8</version>
<vendor>sun</vendor>
</provides>
<configuration>
<jdkHome>C:\Program Files\Java\jdk1.8.0_202</jdkHome>
</configuration>
</toolchain>
<toolchain>
<type>jdk</type>
<provides>
<version>9</version>
<vendor>sun</vendor>
</provides>
<configuration>
<jdkHome>C:\Program Files\Java\jdk-9.0.4</jdkHome>
</configuration>
</toolchain>
2.执行Maven命令mvn clean install -t ./toolchains-sample-win.xml -Dmaven.test.skip=true -f pom.xml
3.将生成安装在本地Jar包,安装到Nexus
注意事项:
1、确保本地当前Java的环境为Java8,如果本地有个Java环境,请先修改Java环境为Java8,再重启IDEA。
2、确保本地有JDK9的环境
3、建议跳过test步骤,否则安装的时间太长了
5、修改项目中的pom.xml
排除掉通过其他依赖方式引入的log4j相关的包
手动引入前面安装的log4j包
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>2.15.0</version>
<scope>compile</scope>
<exclusions>
<exclusion>
<artifactId>log4j-api</artifactId>
<groupId>org.apache.logging.log4j</groupId>
</exclusion>
<exclusion>
<artifactId>log4j-core</artifactId>
<groupId>org.apache.logging.log4j</groupId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.15.0</version>
<scope>compile</scope>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
<scope>compile</scope>
<exclusions>
<exclusion>
<artifactId>log4j-api</artifactId>
<groupId>org.apache.logging.log4j</groupId>
</exclusion>
</exclusions>
</dependency>
6、测试验证
@RunWith(SpringRunner.class)
@SpringBootTest
@Log4j2
public class SpringTests {
@Test
public void test(){
log.error("${jndi:ldap://127.0.0.1:1389/#Exploit}");
log.error("${}","jndi:ldap://127.0.0.1:1389/#Exploit");
}
}
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
赞同 0
评论 0 条
- 上周热门
- 银河麒麟添加网络打印机时,出现“client-error-not-possible”错误提示 1323
- 银河麒麟打印带有图像的文档时出错 1236
- 银河麒麟添加打印机时,出现“server-error-internal-error” 1023
- 统信桌面专业版【如何查询系统安装时间】 951
- 统信操作系统各版本介绍 944
- 统信桌面专业版【全盘安装UOS系统】介绍 903
- 麒麟系统也能完整体验微信啦! 889
- 统信【启动盘制作工具】使用介绍 499
- 统信桌面专业版【一个U盘做多个系统启动盘】的方法 441
- 信刻全自动档案蓝光光盘检测一体机 386
- 本周热议
- 我的信创开放社区兼职赚钱历程 40
- 今天你签到了吗? 27
- 信创开放社区邀请他人注册的具体步骤如下 15
- 如何玩转信创开放社区—从小白进阶到专家 15
- 方德桌面操作系统 14
- 我有15积分有什么用? 13
- 用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
- 如何让你先人一步获得悬赏问题信息?(创作者必看) 12
- 2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
- 中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
热门标签更多
