快速修复 Log4j2 远程代码执行漏洞步骤,文末送10本书
共 488字,需浏览 1分钟
·
2021-12-23 05:26
来源:blog.csdn.net/weixin_48990070/
article/details/121861553
文末送10本书《Elasticsearch搜索引擎构建入门与实战》
目录
漏洞说明 修复步骤 下载源码zip包到本地 解压到本地 用IDEA打开项目 执行Maven Deploy,将log4j2修复的版本包安装到Nexus 修改项目中的pom.xml 测试验证
Apache Log4j2 远程代码执行漏洞修复步骤
漏洞说明
Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。
修复步骤
1、下载源码zip包到本地
下载地址:
github.com/apache/logging-log4j2/archive/refs/tags/log4j-2.15.0-rc2.zip
2、解压到本地
3、用IDEA打开项目
4、执行Maven Deploy,将log4j2修复的版本包安装到Nexus
1.修改toolchains-sample-win.xml文件的JDK安装路径:
<toolchain>
<type>jdktype>
<provides>
<version>1.8version>
<vendor>sunvendor>
provides>
<configuration>
<jdkHome>C:\\Program Files\\Java\\jdk1.8.0_202jdkHome>
configuration>
toolchain>
<toolchain>
<type>jdktype>
<provides>
<version>9version>
<vendor>sunvendor>
provides>
<configuration>
<jdkHome>C:\\Program Files\\Java\\jdk-9.0.4jdkHome>
configuration>
toolchain>
2.执行Maven命令mvn clean install -t ./toolchains-sample-win.xml -Dmaven.test.skip=true -f pom.xml
3.将生成安装在本地Jar包,安装到Nexus
注意事项:
1、确保本地当前Java的环境为Java8,如果本地有个Java环境,请先修改Java环境为Java8,再重启IDEA。
2、确保本地有JDK9的环境
3、建议跳过test步骤,否则安装的时间太长了
5、修改项目中的pom.xml
排除掉通过其他依赖方式引入的log4j相关的包
手动引入前面安装的log4j包
<dependency>
<groupId>org.apache.logging.log4jgroupId>
<artifactId>log4j-slf4j-implartifactId>
<version>2.15.0version>
<scope>compilescope>
<exclusions>
<exclusion>
<artifactId>log4j-apiartifactId>
<groupId>org.apache.logging.log4jgroupId>
exclusion>
<exclusion>
<artifactId>log4j-coreartifactId>
<groupId>org.apache.logging.log4jgroupId>
exclusion>
exclusions>
dependency>
<dependency>
<groupId>org.apache.logging.log4jgroupId>
<artifactId>log4j-apiartifactId>
<version>2.15.0version>
<scope>compilescope>
dependency>
<dependency>
<groupId>org.apache.logging.log4jgroupId>
<artifactId>log4j-coreartifactId>
<version>2.15.0version>
<scope>compilescope>
<exclusions>
<exclusion>
<artifactId>log4j-apiartifactId>
<groupId>org.apache.logging.log4jgroupId>
exclusion>
exclusions>
dependency>
6、测试验证
@RunWith(SpringRunner.class)
@SpringBootTest
@Log4j2
public class SpringTests {
@Test
public void test(){
log.error("${jndi:ldap://127.0.0.1:1389/#Exploit}");
log.error("${}","jndi:ldap://127.0.0.1:1389/#Exploit");
}
}
福利环节
内容简介
《Elasticsearch搜索引擎构建入门与实战》从Elasticsearch的基本概念和原理讲起,然后系统介绍Elasticsearch的使用场景,带领读者近距离接触Elasticsearch。本书全面涵盖Elasticsearch客户端的安装和使用、索引创建、文档操作、搜索匹配、搜索排序和聚合等技术,可以帮助读者循序渐进地掌握Elasticsearch的相关知识。
做技术也不容易,最后给大家抽个奖吧,送 10 本《Elasticsearch搜索引擎构建入门与实战》,12 月 26 日(下周日)20:00 开奖 中奖者记得加微信 itwang005
参加方式 关注 【Java项目分享】 后台回复 送书
中奖后3天内不联系就送其他粉丝了哦