【漏洞修复】Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)

摘要

本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统,修复Log4漏洞。

问题描述

Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。Apache Log4j2存在远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

修复方法

方法一:升级log4j版本

Java 6 将 log4j 升级到 2.3.1 版本,Java 7 将 log4j 升级到 2.12.3 版本,Java 8 或更高版本将 log4j 升级到 2.17.0 版本,下载地址:https://logging.apache.org/log4j/2.x/download.html

方法二:删除类文件

若暂时无法升级,删除jar包中漏洞相关的JndiLookup.class文件: zip -q -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

实际操作(方法二)

1.连接服务器 进入目录
     cd /CloudResetPwdUpdateAgent/lib/
2. 查看目录下文件,并记录文件log4j-core-x.xx.x.jar的版本号
    ls
3. 根据步骤2执行命令
    zip -q -d log4j-core-x.xx.x.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

选项说明:

-q 表示 "quiet",即不输出任何信息到标准输出设备(通常是终端),只输出错误和警告信息

-d 表示 "delete",即删除 JAR 包中指定的文件或目录。

例如:zip -q -d log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

你可能感兴趣的:(apache,log4j)