1、漏洞范围
远程代码执行漏洞CVE-2021-45046:log4j 2.0-2.15.0版本
拒绝服务漏洞CVE-2021-45105:log4j 2.0-2.16.0版本
远程代码执行漏洞CVE-2021-4104:log4 1.x版本
2、漏洞解决:
针对CVE-2021-45046和CVE-2021-45105,需要升级到2.17.0版本进行修复。
针对CVE-2021-4104需要从类路径中移除JMSAppender类,可利用如下命令进行删除:zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class
备注:
①log4j 1.x版本已停止维护,因此log4j 1.x仅能通过删除JMSAppender类进行修复;
②CVE-2021-45046和CVE-2021-45105漏洞目前只有log4j-core JAR文件受此漏洞影响,仅使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不受此漏洞影响。