本文介绍了如何处理Log4j高危漏洞,包括是否必须替换jar包及其判断依据,如禁用JNDI、阻止互联网访问等。提供了IDEA下升级jar包的步骤,涉及排除旧版本依赖并引入新版本。强调虽然可以采取临时措施,但推荐更新jar以确保安全性。
高危漏洞 log4j漏洞产生原因这里就不赘述了,这里只聊解决办法:替换jar的方式。
发现身边的开发同学在替换jar的时候遇到如下问题:
0、一定要替换吗?
1、不确定要替换那些包
2、替换后旧版jar仍存在
1、2问题答案如下:
1、简单粗暴替换<groupId>org.apache.logging.log4j</groupId>组下面的所有包
2、因为maven依赖传的导致新引入的报又依赖了旧版本log4j包。
首先我们聊下问题0,一定要替换吗?
不一定需要替换,虽然项目中引用了jar,如:
1、没有开启JNDI(在spring.properties里添加spring.jndi.ignore=true 可以禁用)
2、或者禁止应用对外访问互联网。
3、移除了JndiLookup类文件,(操作命令: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)
以上都是无害的。但是堵不如疏,没准啥时候就出幺蛾子了,有精力最好还是升级下jar包,花不了多少时间。
idea下jar升级操作方法:
1、直接查看当前项目jar包(见下图左侧)版本等比较直观。
2、进入pom文件,查看jar包依赖视图(比较方便看依赖关系和操作)
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
