【漏洞修复】Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)

摘要

本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统，修复Log4漏洞。

问题描述

Apache Log4j是一个功能强大的日志组件，提供方便的日志记录。Apache Log4j2存在远程代码执行漏洞，由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

修复方法

方法一：升级log4j版本

Java 6 将 log4j 升级到 2.3.1 版本，Java 7 将 log4j 升级到 2.12.3 版本，Java 8 或更高版本将 log4j 升级到 2.17.0 版本，下载地址：https://logging.apache.org/log4j/2.x/download.html

方法二：删除类文件

若暂时无法升级，删除jar包中漏洞相关的JndiLookup.class文件： zip -q -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

实际操作（方法二）

1.连接服务器 进入目录
     cd /CloudResetPwdUpdateAgent/lib/
2. 查看目录下文件，并记录文件log4j-core-x.xx.x.jar的版本号
    ls
3. 根据步骤2执行命令
    zip -q -d log4j-core-x.xx.x.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

选项说明：

-q 表示 "quiet"，即不输出任何信息到标准输出设备（通常是终端），只输出错误和警告信息

-d 表示 "delete"，即删除 JAR 包中指定的文件或目录。

例如：zip -q -d log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class