修复jar包里面的log4j漏洞
1影响版本 Log4j2.x<=2.14.1
2.漏洞原理 参考:
3.修复
Apache官方修复:
更新至Apache发布的最新版Log4j2 版本 2.17.1 (Java 8)、2.12.4 (Java 7) 和 2.3.2 (Java 6) 。
由于运行的项目没有源码,只能修改jar文件
logback替换log4j
3.1 jar包解压缩后
删除: ESSWEB-INFliblog4j-1.2.14.jar ESSWEB-INFliblog4j-api-2.7.jar ESSWEB-INFliblog4j-core-2.7.jar ESSWEB-INFliblog4j-slf4j-impl-2.7.jar ESSWEB-INFliblog4j-web-2.11.1.jar ESSWEB-INFlibspring-boot-starter-log4j2-1.5.10.RELEASE.jar ESSWEB-INFclasseslog4j2.xml
新增: ESSWEB-INFliblogback-classic-1.1.11.jar ESSWEB-INFliblogback-core-1.1.11.jar ESSWEB-INFlibspring-boot-starter-logging-1.5.10.RELEASE.jar ESSWEB-INFclasseslogback-spring.xml
3.2 修改配置文件,log4j替换成logback
3.3 重新打包
进入解压缩文件目录,运行 jar cf0M Agent.jar *,这里得注意不能用jar cfvm,不然lib下的.jar文件被压缩,启动报错。
jar命令帮助文档
上一篇:
通过多线程提高代码的执行效率例子
下一篇:
ios 几种线程依赖的处理方式