快速修复 Log4j2 远程代码执行漏洞步骤
以下文章来源Java后端栈,回复”面试“获面试宝典
扫码关注带你吊爆Java后端技术
哈喽,各位新来的小伙伴们,大家好!由于公众号做了改版,为了保证公众号的资源能准时推送到你手里,大家记得将后端君的公众号 加星标置顶 ,在此真诚的表示感谢~
来源:blog.csdn.net/weixin_48990070/article/details/121861553
上一篇:紧急!Log4j 史诗级漏洞来袭,已引起大规模入侵,速速自查!
正文
大家好,我是栈哥。
目录
漏洞说明 修复步骤
下载源码zip包到本地 解压到本地 用IDEA打开项目 执行Maven Deploy,将log4j2修复的版本包安装到Nexus 修改项目中的pom.xml 测试验证
Apache Log4j2 远程代码执行漏洞修复步骤
漏洞说明
Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。
修复步骤
1、下载源码zip包到本地
下载地址:
github.com/apache/logging-log4j2/archive/refs/tags/log4j-2.15.0-rc2.zip
2、解压到本地
3、用IDEA打开项目
4、执行Maven Deploy,将log4j2修复的版本包安装到Nexus
1.修改toolchains-sample-win.xml文件的JDK安装路径:
<toolchain>
<type>jdk</type>
<provides>
<version>1.8</version>
<vendor>sun</vendor>
</provides>
<configuration>
<jdkHome>C:\\Program Files\\Java\\jdk1.8.0_202</jdkHome>
</configuration>
</toolchain>
<toolchain>
<type>jdk</type>
<provides>
<version>9</version>
<vendor>sun</vendor>
</provides>
<configuration>
<jdkHome>C:\\Program Files\\Java\\jdk-9.0.4</jdkHome>
</configuration>
</toolchain>
2.执行Maven命令mvn clean install -t ./toolchains-sample-win.xml -Dmaven.test.skip=true -f pom.xml
3.将生成安装在本地Jar包,安装到Nexus
注意事项:
1、确保本地当前Java的环境为Java8,如果本地有个Java环境,请先修改Java环境为Java8,再重启IDEA。另外搜索公众号编程技术圈后台回复“Java”,获取一份惊喜礼包。
2、确保本地有JDK9的环境
3、建议跳过test步骤,否则安装的时间太长了
5、修改项目中的pom.xml
排除掉通过其他依赖方式引入的log4j相关的包
手动引入前面安装的log4j包
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>2.15.0</version>
<scope>compile</scope>
<exclusions>
<exclusion>
<artifactId>log4j-api</artifactId>
<groupId>org.apache.logging.log4j</groupId>
</exclusion>
<exclusion>
<artifactId>log4j-core</artifactId>
<groupId>org.apache.logging.log4j</groupId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.15.0</version>
<scope>compile</scope>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.15.0</version>
<scope>compile</scope>
<exclusions>
<exclusion>
<artifactId>log4j-api</artifactId>
<groupId>org.apache.logging.log4j</groupId>
</exclusion>
</exclusions>
</dependency>
6、测试验证
@RunWith(SpringRunner.class)
@SpringBootTest
@Log4j2
public class SpringTests {
@Test
public void test(){
log.error("${jndi:ldap://127.0.0.1:1389/#Exploit}");
log.error("${}","jndi:ldap://127.0.0.1:1389/#Exploit");
}
}
漏洞参考:紧急!Log4j 史诗级漏洞来袭,已引起大规模入侵,速速自查!
最后给读者整理了一份BAT大厂面试真题,需要的可扫码加微信备注:“面试”获取。
◆ ◆ ◆ ◆ ◆
Intellij IDEA 2021.2.3 最新版免费激活教程(可激活至 2099 年,亲测有效)
IntelliJ IDEA 2021.3发布,这次不追了。。
Spring Boot + Redis 实现各种操作,写得太好了吧!
欢迎添加栈哥个人微信 ysle007 进粉丝群或围观朋友圈