avro-tools-1.9.1.jar的log4j漏洞

i86rm4rw  于 2022-11-06  发布在  其他
关注(0)|答案(1)|浏览(134)

Apache avro扫描显示log4j漏洞。如何摆脱它?尝试使用:
java -jar目标/log4j-detector-latest. jar/c/工作区/示例应用程序
--github.com/mergebase/log4j-detector v2021.12.29(由www.example.com提供mergebase.com)正在分析路径(可能需要一段时间)。--注意:指定“--verbose”标志以将检查的每个文件打印到STDERR。C:\工作空间\示例应用程序\目标\示例应用程序\WEB-INF\lib\avro-tools-1.9.1。jar包含Log4J-1.x〈= 1.2.17 OLD
我已经尝试升级到avro-tools版本1.11.0,也显示了同样的问题。

mzaanser

mzaanser1#

您可以修改JAR文件并删除JAR文件中属于log4j 1.x的以下文件,以缓解漏洞。这些文件位于JAR的/org/apache/log4j/net/文件夹中:

  • JMSAppender.class
  • SocketServer.class
  • SocketAppender.class
  • SMTPAppender.class
  • SMTPAppender$1.class

一旦删除这些类,log4j日志记录配置就不能再使用这些类(这是触发漏洞的方式)。
如果应用程序在修改后无法正常工作,则需要将其迁移到较新的log4j 2.x版本:Log4j 2.3.2(适用于Java 6)、2.12.4(适用于Java 7)或2.17.1(适用于Java 8及更高版本)-请参见https://logging.apache.org/log4j/2.x/

相关问题