快速修复 Log4j2 远程代码执行漏洞步骤

Posted 2022-01-07 程序员大咖

👇👇关注后回复 “进群” ，拉你进程序员交流群👇👇

作者丨飞一站

原文链接：

https://blog.csdn.net/weixin_48990070/article/details/121861553/

Apache Log4j2 远程代码执行漏洞修复步骤

漏洞说明

Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1，只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用，极大可能会受到影响。

修复步骤

1、下载源码zip包到本地

下载地址:

github.com/apache/logging-log4j2/archive/refs/tags/log4j-2.15.0-rc2.zip

2、解压到本地

3、用IDEA打开项目

4、执行Maven Deploy，将log4j2修复的版本包安装到Nexus

• 1.修改toolchains-sample-win.xml文件的JDK安装路径：

<toolchain>
    <type>jdk</type>
    <provides>
      <version>1.8</version>
      <vendor>sun</vendor>
    </provides>
    <configuration>
      <jdkHome>C:\\\\Program Files\\\\Java\\\\jdk1.8.0_202</jdkHome>
    </configuration>
  </toolchain>
  <toolchain>
    <type>jdk</type>
    <provides>
      <version>9</version>
      <vendor>sun</vendor>
    </provides>
    <configuration>
      <jdkHome>C:\\\\Program Files\\\\Java\\\\jdk-9.0.4</jdkHome>
    </configuration>
  </toolchain>

• 2.执行Maven命令

mvn clean install -t ./toolchains-sample-win.xml -Dmaven.test.skip=true -f pom.xml

• 3.将生成安装在本地Jar包，安装到Nexus

注意事项：

• 1、确保本地当前Java的环境为Java8，如果本地有个Java环境，请先修改Java环境为Java8，再重启IDEA。

• 2、确保本地有JDK9的环境

• 3、建议跳过test步骤，否则安装的时间太长了

5、修改项目中的pom.xml

排除掉通过其他依赖方式引入的log4j相关的包

手动引入前面安装的log4j包

<dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-slf4j-impl</artifactId>
      <version>2.15.0</version>
      <scope>compile</scope>
      <exclusions>
        <exclusion>
          <artifactId>log4j-api</artifactId>
          <groupId>org.apache.logging.log4j</groupId>
        </exclusion>
        <exclusion>
          <artifactId>log4j-core</artifactId>
          <groupId>org.apache.logging.log4j</groupId>
        </exclusion>
      </exclusions>
    </dependency>
 
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-api</artifactId>
      <version>2.15.0</version>
      <scope>compile</scope>
    </dependency>
 
 
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-core</artifactId>
      <version>2.15.0</version>
      <scope>compile</scope>
      <exclusions>
        <exclusion>
          <artifactId>log4j-api</artifactId>
          <groupId>org.apache.logging.log4j</groupId>
        </exclusion>
      </exclusions>
    </dependency>

6、测试验证

@RunWith(SpringRunner.class)
@SpringBootTest
@Log4j2
public class SpringTests 
 
    @Test
    public void test()
        log.error("$jndi:ldap://127.0.0.1:1389/#Exploit");
        log.error("$","jndi:ldap://127.0.0.1:1389/#Exploit");
    

————————————————

版权声明：本文为CSDN博主「飞一站」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。

原文链接：

https://blog.csdn.net/weixin_48990070/article/details/121861553/

-End-

最近有一些小伙伴，让我帮忙找一些 面试题 资料，于是我翻遍了收藏的 5T 资料后，汇总整理出来，可以说是程序员面试必备！所有资料都整理到网盘了，欢迎下载！

点击👆卡片，关注后回复【面试题】即可获取

在看点这里好文分享给更多人↓↓