全球新资讯：Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)修复方案

手机

iphone11大小尺寸是多少？苹果iPhone11和iPhone13的区别是什么？

警方通报辅警执法直播中被撞飞：犯罪嫌疑人已投案

家电

全球新资讯：Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)修复方案

2022-12-23 22:08:30 来源：博客园

漏洞概述

漏洞名称：Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)

影响范围：Apache Apache Log4j2 >= 2.0Apache Apache Log4j2 <= 2.15.0-rc1

(资料图片)

漏洞描述：由于Apache Log4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特别构造的数据请求包，可在目标服务器上执行任意代码。

漏洞扫描结果：

- log4j-core当前安装版本：2.8.2应用相关信息:- 应用路径：/opt/cloudera/cm/common_jars/log4j-core-2.8.2.f3f743bada8d698e2d116e5c9951fe2f.jar- log4j-core当前安装版本：2.8.2应用相关信息:- 应用路径：/opt/cloudera/cm/lib/log4j-core-2.8.2.jar- log4j-core当前安装版本：2.8.2应用相关信息:-应用路径：/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/log4j-core-2.8.2.jar

漏洞相关介绍参考网上相关资料：

http://www.nsfocus.net/vulndb/62211

解决方案

1、解决方案一

升级log4j版本到Apache Log4j 2.15.1-rc1以上版本

下载链接：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.1-rc1

或

https://logging.apache.org/log4j/2.x/download.html

也可以到maven里面下载jar包替换升级。

下载链接：

https://search.maven.org/artifact/org.apache.logging.log4j/log4j-core/2.19.0/jar

下载方法：

2、解决方案二

不升级版本，删除jar包中的JndiLookup.class即可。

由于 CDH/HDP/CDP 等大数据平台中，背后的大数据组件众多，并不是每一个组件背后的社区都能快速响应，修复上述 LOG4J JNDI 系列漏洞并提供正式的修复版本，

所以 CDH/HDP/CDP 等大数据平台中，快速应对LOG4J的JNDI系列漏洞，采用的思路，就是使用上述临时解决方案，即删除类加载路径上的危险类 JndiLookup.class（本质是因为，这些大数据组件底层，都没有使用到 LOG4J 的“JNDI Lookup plugin support” 功能）。

同时，为进一步简化临时解决方案的实施难度，Cloudera 在 GitHub 上提供了系列脚本，来辅助删除 CDH/HDP/CDP 等大数据平台上的危险类 JndiLookup.class。

大家可以去 GITHUB 自行下载，GITHUB 下载链接如下：https://github.com/cloudera/cloudera-scripts-for-log4j.git

备用下载链接：

链接：https://pan.baidu.com/s/1UV_CXPkyiyyquYz4zTEtwA?pwd=YYDS

提取码：YYDS

CDH6.3集群中，使用上述官方辅助脚本修复命令如下：sh run_log4j_patcher.sh cdh;

3、解决方案三

备用解决方案，手工删除命令，如下：

#查找低版本log4j-core位置find / -name  log4j-core-*#查看进程中有用到log4j相关的程序 ps -ef|grep log4j# 查看是否存在JndiLookup.classjar -tf log4j-core-2.8.2.jar |grep "log4j"|grep "Jndi"备注：log4j-core另外还有其他命名# 删除JndiLookup.classzip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class备注：当log4j-core的文件名不是log4j-core-2.8.2.jar，相对路径可能不是这个org/apache/logging/log4j/core/lookup#验证是否存在JndiLookup.classjar -tf log4j-core-2.8.2.jar |grep "log4j"|grep "Jndi"备注：log4j-core另外还有其他命名

一个一个删，也挺费劲的哈，该解决方案不推荐，但是可以作为备选或者验证方案使用。

少侠，慢走，扫下二维码关注下公众号呗。

关键词：解决方案下载链接还有其他