如何减轻Log4j 1.2版中的Log4Shell漏洞? [英] How can I mitigate the Log4Shell vulnerability in version 1.2 of Log4j?
本文介绍了如何减轻Log4j 1.2版中的Log4Shell漏洞?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我有一个非常旧的Solr版本,我一直在尝试查看它是否受到每个人都抓狂的Log4Shell vulnerability(CVE-2021-44228)的影响。
CVE似乎只适用于更高版本,但同事不买账,所以我在努力找出真相。
Log4j
我大约95%确定这对于较旧版本的推荐答案没有问题。三个原因:
我使用的是1.2版。我在我的系统上找到了Log4jJAR文件,将其解压缩,并查找任何提到JNDI的内容:
find / -iname '*log4j*' unzip /etc/opt/jetty/lib/ext/log4j-1.2.17.jar | grep -i jndi
那什么也没带回来,所以我在那里感觉很好。CVE说您通常可以通过查看JAR文件找到一些东西。它建议您这样做:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
那对我没有任何帮助。
我翻了翻changelog for Log4j。它显示版本2.0-Beta9:
添加JNDILookup插件。修复了LOG4J2-313。感谢高云山。
所以我认为可以肯定地说,在此之前,Log4j中不存在JNDI。Jira ticket that added it is here。
我检查了old manual for version 1.2,并将其与最新版本进行了比较。在最新的一篇文章中,有一节介绍了JNDI是如何工作的。在1.2版中,该部分不存在。
我觉得……很好?
这篇关于如何减轻Log4j 1.2版中的Log4Shell漏洞?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文