Apache avro扫描显示log4j漏洞。如何摆脱它?尝试使用:
java -jar目标/log4j-detector-latest. jar/c/工作区/示例应用程序
--github.com/mergebase/log4j-detector v2021.12.29(由www.example.com提供mergebase.com)正在分析路径(可能需要一段时间)。--注意:指定“--verbose”标志以将检查的每个文件打印到STDERR。C:\工作空间\示例应用程序\目标\示例应用程序\WEB-INF\lib\avro-tools-1.9.1。jar包含Log4J-1.x〈= 1.2.17 OLD
我已经尝试升级到avro-tools版本1.11.0,也显示了同样的问题。
1条答案
按热度按时间mzaanser1#
您可以修改JAR文件并删除JAR文件中属于log4j 1.x的以下文件,以缓解漏洞。这些文件位于JAR的
/org/apache/log4j/net/
文件夹中:JMSAppender.class
个SocketServer.class
SocketAppender.class
SMTPAppender.class
SMTPAppender$1.class
一旦删除这些类,log4j日志记录配置就不能再使用这些类(这是触发漏洞的方式)。
如果应用程序在修改后无法正常工作,则需要将其迁移到较新的log4j 2.x版本:Log4j 2.3.2(适用于Java 6)、2.12.4(适用于Java 7)或2.17.1(适用于Java 8及更高版本)-请参见https://logging.apache.org/log4j/2.x/