最新要闻

广告

手机

iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?

iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?

警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案

警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案

家电

全球新资讯:Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)修复方案

来源:博客园

漏洞概述

漏洞名称:Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)

影响范围:Apache Apache Log4j2 >= 2.0Apache Apache Log4j2 <= 2.15.0-rc1


(资料图片)

漏洞描述:由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。

漏洞扫描结果:

- log4j-core当前安装版本:2.8.2应用相关信息:- 应用路径:/opt/cloudera/cm/common_jars/log4j-core-2.8.2.f3f743bada8d698e2d116e5c9951fe2f.jar- log4j-core当前安装版本:2.8.2应用相关信息:- 应用路径:/opt/cloudera/cm/lib/log4j-core-2.8.2.jar- log4j-core当前安装版本:2.8.2应用相关信息:-应用路径:/opt/cloudera/parcels/CDH-6.3.2-1.cdh6.3.2.p0.1605554/jars/log4j-core-2.8.2.jar

漏洞相关介绍参考网上相关资料:

http://www.nsfocus.net/vulndb/62211

解决方案

1、解决方案一

升级log4j版本到Apache Log4j 2.15.1-rc1以上版本

下载链接:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.1-rc1

https://logging.apache.org/log4j/2.x/download.html

也可以到maven里面下载jar包替换升级。

下载链接:

https://search.maven.org/artifact/org.apache.logging.log4j/log4j-core/2.19.0/jar

下载方法:

2、解决方案二

不升级版本,删除jar包中的JndiLookup.class即可。

由于 CDH/HDP/CDP 等大数据平台中,背后的大数据组件众多,并不是每一个组件背后的社区都能快速响应,修复上述 LOG4J JNDI 系列漏洞并提供正式的修复版本,

所以 CDH/HDP/CDP 等大数据平台中,快速应对LOG4J的JNDI系列漏洞,采用的思路,就是使用上述临时解决方案,即删除类加载路径上的危险类 JndiLookup.class(本质是因为,这些大数据组件底层,都没有使用到 LOG4J 的“JNDI Lookup plugin support” 功能)。

同时,为进一步简化临时解决方案的实施难度,Cloudera 在 GitHub 上提供了系列脚本,来辅助删除 CDH/HDP/CDP 等大数据平台上的危险类 JndiLookup.class。

大家可以去 GITHUB 自行下载,GITHUB 下载链接如下:https://github.com/cloudera/cloudera-scripts-for-log4j.git

备用下载链接:

链接:https://pan.baidu.com/s/1UV_CXPkyiyyquYz4zTEtwA?pwd=YYDS

提取码:YYDS

CDH6.3集群中,使用上述官方辅助脚本修复命令如下:sh run_log4j_patcher.sh cdh;

3、解决方案三

备用解决方案,手工删除命令,如下:

#查找低版本log4j-core位置find / -name  log4j-core-*#查看进程中有用到log4j相关的程序 ps -ef|grep log4j# 查看是否存在JndiLookup.classjar -tf log4j-core-2.8.2.jar |grep "log4j"|grep "Jndi"备注:log4j-core另外还有其他命名# 删除JndiLookup.classzip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class备注:当log4j-core的文件名不是log4j-core-2.8.2.jar,相对路径可能不是这个org/apache/logging/log4j/core/lookup#验证是否存在JndiLookup.classjar -tf log4j-core-2.8.2.jar |grep "log4j"|grep "Jndi"备注:log4j-core另外还有其他命名

一个一个删,也挺费劲的哈,该解决方案不推荐,但是可以作为备选或者验证方案使用。

少侠,慢走,扫下二维码关注下公众号呗。

关键词: 解决方案 下载链接 还有其他