12月9日,绿盟科技CERT监测到网上爆出Apache Log4j2 远程代码执行漏洞,该日志框架被大量用于业务系统开发,用来记录日志信息;由于Apache Log4j2某些功能存在递归解析功能,攻击者可利用该漏洞构造特殊的数据请求包,从而实现远程代码执行。目前漏洞PoC已在网上公开,由于Apache Log4j2广泛地应用在中间件、开发框架与Web应用中,该漏洞影响范围极广,建议广大用户尽快排查相关漏洞。
官方升级目前官方已发布测试版本修复该漏洞,受影响用户可先将Apache Log4j2所有相关应用到最新版本,下载链接: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
修复操作1) 下载官方最新版本 logging-log4j2-log4j-2.15.0-rc2
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2) 解压
tar -zxvf log4j-2.15.0-rc2.tar.gz
3) 设置当前环境的toolchains.xml文件,指定jdk编译版本,示例文件在logging-log4j2-log4j-2.15.0-rc2目录下
toolchains
如我的环境是linux,则文件内容如下:
文件存放路径为 ~/.m2/toolchains.xml
经测试, log4j2需要指定jdk11
4) 使用maven进行编译
cd logging-log4j2-log4j-2.15.0-rc2
mvn -e -X clean install -Dmaven.test.skip=true -Dmaven.wagon.http.ssl.insecure=true -Dmaven.wagon.http.ssl.allowall=true
-e -X 打开debug日志 不需要的小伙伴可以不加
-Dmaven.test.skip=true 跳过测试类
-Dmaven.wagon.http.ssl.insecure=true -Dmaven.wagon.http.ssl.allowall=true 取消证书校验
3) 编译成功结果
编译成功图
4) 按需进入对应模块的target目录,更新最新jar包到项目
如 /log4j-api/target
target信息
最新评论