Apache Log4j 这个漏洞过去了这么久的时间,居然还有人不会修复方法,那么估计就是个人维护的伸手一族了,原本不想再提这个过时的漏洞,但是考虑到小白和非专业项目人员还在困惑还是更新一篇Apache Log4j的修复方法吧。当然,你可能是想直接伸手让我帮你修复,这样你就可以直接忽略下面的教程——毕竟阿里云官方安骑士有点小贵。
如需,加我人工修复:398221207 (qq 同微信 备注 漏洞修复),价格:单台服务器10个漏洞以内300块,每超10个累加。
专业技术人员可以直接按照下面方法教程修复
【手动修复方法】
因为截至发文,目前还没有Apache Log4j 的一键升级修复命令,还需要我们手动去修复,目前有两种方法,一种是编译修复,二是直接替换编译好的版本。
对所有使用到 Log4j 组件的项目进行升级,使用最新版本 2.17.1:(以下两个必须同步升级到2.17.1,否则运行会报错)
log4j-core:https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/2.17.1
log4j-api:https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api/2.17.1
其它相关组件,建议也升级:
log4j-slf4j-impl:https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-slf4j-impl/2.17.1
log4j-jul:https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-jul/2.17.1
Spring Boot 修复措施
如果是 maven 管理的项目,通过升级 log4j 的版本解决漏洞。
1、使用 Log4j2 的项目,pom.xml 的修改样例如下:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-log4j2</artifactId>
<!-- 排除旧版本的 Apache Log4j2 组件 -->
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-jul</artifactId>
</exclusion>
</exclusions>
<!-- 排除旧版本的 Apache Log4j2 组件 -->
</dependency>
<!-- 引入新版本的 Apache Log4j2 组件 -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>2.16.0</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.1</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.1</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-jul</artifactId>
<version>2.17.1</version>
</dependency>
<!-- 引入新版本的 Apache Log4j2 -->
2、使用 Logback 的项目
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<exclusions>
<!-- 排除旧版本的 Apache Log4j2 组件 -->
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
</exclusion>
<!-- 排除旧版本的 Apache Log4j2 组件 -->
</exclusions>
</dependency>
<!-- 引入新版本的 Apache Log4j2 组件 -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
<version>2.16.0</version>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.16.0</version>
</dependency>
<!-- 引入新版本的 Apache Log4j2 组件 -->
参考文章:https://blog.csdn.net/weixin_42470710/article/details/121993104
![[安全]关于kali linux的一些常用命令](https://www.jinshare.com/wp-content/themes/begin/timthumb.php?src=https://www.jinshare.com/wp-content/uploads/2021/01/1.png&w=280&h=210&zc=1)
蚂蚁森林为我浇水吧!