目录
Apache Log4j2 远程代码执行漏洞修复步骤
漏洞说明
修复步骤
1、下载源码zip包到本地
2、解压到本地
3、用IDEA打开项目
4、执行Maven Deploy,将log4j2修复的版本包安装到Nexus
5、修改项目中的pom.xml
6、测试验证
Apache Log4j2 远程代码执行漏洞修复步骤
漏洞说明
参考链接:Apache Log4j2 远程代码执行漏洞分析 - 安全客,安全资讯平台
Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。
修复步骤
1、下载源码zip包到本地
下载地址:log4j-2.15.0-rc2
2、解压到本地
3、用IDEA打开项目
4、执行Maven Deploy,将log4j2修复的版本包安装到Nexus
- 1、修改
toolchains-sample-win.xml文件的JDK安装路径:
复制代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20<toolchain> <type>jdk</type> <provides> <version>1.8</version> <vendor>sun</vendor> </provides> <configuration> <jdkHome>C:\Program Files\Java\jdk1.8.0_202</jdkHome> </configuration> </toolchain> <toolchain> <type>jdk</type> <provides> <version>9</version> <vendor>sun</vendor> </provides> <configuration> <jdkHome>C:\Program Files\Java\jdk-9.0.4</jdkHome> </configuration> </toolchain>
- 2、执行Maven命令
mvn clean install -t ./toolchains-sample-win.xml -Dmaven.test.skip=true -f pom.xml - 3、将生成安装在本地Jar包,安装到Nexus
注意事项:
- 1、确保本地当前Java的环境为Java8,如果本地有个Java环境,请先修改Java环境为Java8,再重启IDEA。
- 2、确保本地有JDK9的环境
- 3、建议跳过
test步骤,否则安装的时间太长了
5、修改项目中的pom.xml
- 排除掉通过其他依赖方式引入的log4j相关的包
- 手动引入前面安装的log4j包
复制代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37<dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-slf4j-impl</artifactId> <version>2.15.0</version> <scope>compile</scope> <exclusions> <exclusion> <artifactId>log4j-api</artifactId> <groupId>org.apache.logging.log4j</groupId> </exclusion> <exclusion> <artifactId>log4j-core</artifactId> <groupId>org.apache.logging.log4j</groupId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.15.0</version> <scope>compile</scope> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.15.0</version> <scope>compile</scope> <exclusions> <exclusion> <artifactId>log4j-api</artifactId> <groupId>org.apache.logging.log4j</groupId> </exclusion> </exclusions> </dependency>
6、测试验证
复制代码
1
2
3
4
5
6
7
8
9
10
11
12
13@RunWith(SpringRunner.class) @SpringBootTest @Log4j2 public class SpringTests { @Test public void test(){ log.error("${jndi:ldap://127.0.0.1:1389/#Exploit}"); log.error("${}","jndi:ldap://127.0.0.1:1389/#Exploit"); } }
最后
以上就是欢喜背包最近收集整理的关于Apache Log4j2 远程代码执行漏洞修复步骤的全部内容,更多相关Apache内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复