最近一直出現的資安新聞,log4j 的jndi 漏洞影響許多產品,也出現很多災情,老闆很是擔心受到波及,所以我們也開始檢視是否有用到,我們的開發沒有使用到log4j , 但是使用的工具和不少系統有使用,所以就針對每一個用到的版本去尋找,版本過舊的就不用更新,但是那些有問題的版本也不少,要等更新又很擔心這過渡期和相容性,所以依官方說明,移除Jndi最安全
我下載了VM來測試,首先找到檔案,以我下載的ELK有兩個,記得都要移除哦,截圖只貼一個
sudo find -name log4j-core-*.jar
切換目錄到jar檔所在,用zip移除jar檔中的JndiLookup.class,我做兩次,確保檔案有被移除,會出錯訊息
sudo zip -q -d log4j-core-2.14.0.jar org/apache/logging/lo4j/core/lookup/JndiLookup.class
https://www.ithome.com.tw/news/148332
留言