点击关注公众号，实用技术文章及时了解

来源：blog.csdn.net/weixin_48990070/

article/details/121861553

目录

• 漏洞说明

• 修复步骤

1. 下载源码zip包到本地

2. 解压到本地

3. 用IDEA打开项目

4. 执行Maven Deploy，将log4j2修复的版本包安装到Nexus

5. 修改项目中的pom.xml

6. 测试验证

Apache Log4j2 远程代码执行漏洞修复步骤

漏洞说明

Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1，只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用，极大可能会受到影响。

修复步骤

1、下载源码zip包到本地

下载地址:

• github.com/apache/logging-log4j2/archive/refs/tags/log4j-2.15.0-rc2.zip

2、解压到本地

3、用IDEA打开项目

4、执行Maven Deploy，将log4j2修复的版本包安装到Nexus

1.修改toolchains-sample-win.xml文件的JDK安装路径：

<toolchain><type>jdk</type><provides><version>1.8</version><vendor>sun</vendor></provides><configuration><jdkHome>C:\\Program Files\\Java\\jdk1.8.0_202</jdkHome></configuration></toolchain><toolchain><type>jdk</type><provides><version>9</version><vendor>sun</vendor></provides><configuration><jdkHome>C:\\Program Files\\Java\\jdk-9.0.4</jdkHome></configuration></toolchain>

2.执行Maven命令mvn clean install -t ./toolchains-sample-win.xml -Dmaven.test.skip=true -f pom.xml

3.将生成安装在本地Jar包，安装到Nexus

注意事项：

1、确保本地当前Java的环境为Java8，如果本地有个Java环境，请先修改Java环境为Java8，再重启IDEA。

2、确保本地有JDK9的环境

3、建议跳过test步骤，否则安装的时间太长了

5、修改项目中的pom.xml

排除掉通过其他依赖方式引入的log4j相关的包

手动引入前面安装的log4j包

<dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-slf4j-impl</artifactId><version>2.15.0</version><scope>compile</scope><exclusions><exclusion><artifactId>log4j-api</artifactId><groupId>org.apache.logging.log4j</groupId></exclusion><exclusion><artifactId>log4j-core</artifactId><groupId>org.apache.logging.log4j</groupId></exclusion></exclusions></dependency><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.15.0</version><scope>compile</scope></dependency><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.15.0</version><scope>compile</scope><exclusions><exclusion><artifactId>log4j-api</artifactId><groupId>org.apache.logging.log4j</groupId></exclusion></exclusions></dependency>

6、测试验证

@RunWith(SpringRunner.class)
@SpringBootTest
@Log4j2
public class SpringTests {@Testpublic void test(){log.error("${jndi:ldap://127.0.0.1:1389/#Exploit}");log.error("${}","jndi:ldap://127.0.0.1:1389/#Exploit");}
}

漏洞参考：突发，Log4j2 爆出远程代码执行漏洞，各大厂纷纷中招！

推荐

主流Java进阶技术（学习资料分享）

Java面试题宝典

加入Spring技术开发社区

PS：因为公众号平台更改了推送规则，如果不想错过内容，记得读完点一下“在看”，加个“星标”，这样每次新文章推送才会第一时间出现在你的订阅列表里。点“在看”支持我们吧！