avro-tools的log4j漏洞-1.9.1.jar

Question

Apache扫描显示log4j漏洞。怎么摆脱它？试过：

java / -jar目标/log4j检测器-latest.jar/c/-jar/sampleApp

-github.com/mergebase/log4j检测器v2021.12.29 (通过mergebase.com)分析路径(可能需要一段时间)。-注:请指定“-详细”标志，以便将每个文件打印到STDERR。C:\workspace\sampleApp\target\SampleApp\WEB-INF\lib\avro-tools-1.9.1.jar包含Log4J-1.x <= 1.2.17

我已经尝试升级到avro-tools版本1.11.0，这也显示了同样的问题。

Answer 1

您可以修改JAR文件并删除JAR文件中属于log4j 1.x的以下文件，以减轻漏洞。它们存在于JAR中的文件夹/org/apache/log4j/net/中：

• JMSAppender.class
• SocketServer.class
• SocketAppender.class
• SMTPAppender.class
• SMTPAppender$1.class

删除这些类后，log4j日志记录配置将不再使用这些类(这是触发漏洞的方法)。

如果应用程序在修改后无法工作，则需要迁移以使用更新的log4j 2.x版本: Log4j 2.3.2 (用于Java6)、2.12.4 (用于Java7)或2.17.1 (用于Java8及更高版本)-参见https://logging.apache.org/log4j/2.x/