文章/答案/技术大牛

发布

社区首页 >问答首页 >如何修复Log4j安全漏洞CVE-2021-44228在上？

问如何修复Log4j安全漏洞CVE-2021-44228在上？
EN

Stack Overflow用户

提问于 2021-12-14 16:46:21

回答 1查看 2.7K关注 0票数 0

Log4j中的严重漏洞CVE-2021-44228

根据https://nvd.nist.gov/vuln/detail/CVE-2021-44228，在配置、日志消息和参数中使用的Apache 2.14.1 JNDI特性无法抵御攻击者控制的Log4j和其他与JNDI相关的端点。

商业版1905及更低版本使用log4j 2.14.x、2.9.x或更低版本。根据Apache最近的通信，为了防止库被利用，迫切建议将Log4j版本(https://logging.apache.org/log4j/2.x/security.html)升级到最新的2.15 log4j版本。

参考资料：https://launchpad.support.sap.com/#/notes/3130939

log4j

sap-commerce-cloud

回答 1

Stack Overflow用户

发布于 2021-12-14 16:46:21

下载log4j jar的最新版本，从参考链接中推荐的最新版本是2.15.0

转到platform/ext/core/lib目录，并移动上面列出的各个包的旧版本的log4j jar，并将其替换为更新的onces。

给ant clean all并启动服务器。

附加说明：

在尝试替换log4j.jar时，可能会遇到与此日志类似的任何错误或警告。

 ERROR StatusLogger Reconfiguration failed: No configuration found for '1203ecdb' at 'null' in 'null'. 
 log4j:WARN No appenders could be found for logger (de.hybris.platform.servicelayer.web.XSSFilter). 
 log4j:WARN Please initialize the log4j system properly. 
 log4j:WARN See [http://logging.apache.org/log4j/1.2/faq.html#noconfig][1] for more info.

或

java.io.FileNotFoundException: log4j_init_tomcat.properties (The system cannot find the file specified)

修复方法是从您的-Dlog4j.configurationFile=log4j_init_tomcat.properties中的tomcat选项中删除local.properties。

尝试将所有的蚂蚁清理干净，然后重新启动服务器。您现在应该看到您的服务器日志:)

参考资料：https://launchpad.support.sap.com/#/notes/3130939

进一步了解这个问题和它的替代解决方案https://github.com/apache/logging-log4j2/pull/608

重要：请更新您的solr服务器log4j！

编辑-更新1:

在log4j最近的更新中，也发现了2.15.0和2.16.0中的一些漏洞，

！建议使用2.17.0版本！

如果您正在阅读这篇关于最近漏洞更改的文章，请在阅读时查看https://mvnrepository.com/artifact/org.apache.logging.log4j的最新版本，可能已经发布了新的修补程序。

票数 2

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/70352522

复制

相似问题

问如何修复Log4j安全漏洞CVE-2021-44228在上？
EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何修复Log4j安全漏洞CVE-2021-44228在上？EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何修复Log4j安全漏洞CVE-2021-44228在上？
EN