本文主要是介绍【漏洞修复】Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
摘要
本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统,修复Log4漏洞。
问题描述
Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。Apache Log4j2存在远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
修复方法
方法一:升级log4j版本
Java 6 将 log4j 升级到 2.3.1 版本,Java 7 将 log4j 升级到 2.12.3 版本,Java 8 或更高版本将 log4j 升级到 2.17.0 版本,下载地址:https://logging.apache.org/log4j/2.x/download.html
方法二:删除类文件
若暂时无法升级,删除jar包中漏洞相关的JndiLookup.class文件: zip -q -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
实际操作(方法二)
1.连接服务器 进入目录
cd /CloudResetPwdUpdateAgent/lib/
2. 查看目录下文件,并记录文件log4j-core-x.xx.x.jar的版本号
ls
3. 根据步骤2执行命令
zip -q -d log4j-core-x.xx.x.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
选项说明:
-q 表示 "quiet",即不输出任何信息到标准输出设备(通常是终端),只输出错误和警告信息
-d 表示 "delete",即删除 JAR 包中指定的文件或目录。
例如:zip -q -d log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
这篇关于【漏洞修复】Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
