Apache Log4j2 远程代码执行漏洞修复步骤

目录

Apache Log4j2 远程代码执行漏洞修复步骤

漏洞说明

修复步骤

1、下载源码zip包到本地

2、解压到本地

3、用IDEA打开项目

4、执行Maven Deploy，将log4j2修复的版本包安装到Nexus

5、修改项目中的pom.xml

6、测试验证

---

Apache Log4j2 远程代码执行漏洞修复步骤

漏洞说明

参考链接：Apache Log4j2 远程代码执行漏洞分析 - 安全客，安全资讯平台

Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1，只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用，极大可能会受到影响。

修复步骤

1、下载源码zip包到本地

下载地址:log4j-2.15.0-rc2

2、解压到本地

3、用IDEA打开项目

4、执行Maven Deploy，将log4j2修复的版本包安装到Nexus

• 1、修改toolchains-sample-win.xml文件的JDK安装路径：

    jdk
    
      1.8
      sun
    
    
      C:\\Program Files\\Java\\jdk1.8.0_202
    
  
  
    jdk
    
      9
      sun
    
    
      C:\\Program Files\\Java\\jdk-9.0.4
    
  

• 2、执行Maven命令 mvn clean install -t ./toolchains-sample-win.xml -Dmaven.test.skip=true -f pom.xml
• 3、将生成安装在本地Jar包，安装到Nexus

注意事项：

• 1、确保本地当前Java的环境为Java8，如果本地有个Java环境，请先修改Java环境为Java8，再重启IDEA。
• 2、确保本地有JDK9的环境
• 3、建议跳过test步骤，否则安装的时间太长了

5、修改项目中的pom.xml

• 排除掉通过其他依赖方式引入的log4j相关的包
• 手动引入前面安装的log4j包

      org.apache.logging.log4j
      log4j-slf4j-impl
      2.15.0
      compile
      
        
          log4j-api
          org.apache.logging.log4j
        
        
          log4j-core
          org.apache.logging.log4j
        
      
    

    
      org.apache.logging.log4j
      log4j-api
      2.15.0
      compile
    


    
      org.apache.logging.log4j
      log4j-core
      2.15.0
      compile
      
        
          log4j-api
          org.apache.logging.log4j
        
      
    

6、测试验证

@RunWith(SpringRunner.class)
@SpringBootTest
@Log4j2
public class SpringTests {

    @Test
    public void test(){
        log.error("${jndi:ldap://127.0.0.1:1389/#Exploit}");
        log.error("${}","jndi:ldap://127.0.0.1:1389/#Exploit");
    }


}