Apache avro 扫描显示 log4j 漏洞。如何摆脱它?试过:
java -jar 目标/log4j-detector-latest.jar /c/workspace/sampleApp
-- github.com/mergebase/log4j-detector v2021.12.29(by mergebase.com)分析路径(可能需要一段时间)。-- 注意:指定 '--verbose' 标志以使每个检查的文件都打印到 STDERR。C:\workspace\sampleApp\target\SampleApp\WEB-INF\lib\avro-tools-1.9.1.jar 包含 Log4J-1.x <= 1.2.17 OLD
我尝试升级到 avro-tools 版本 1.11.0,它也显示了同样的问题。
您可以修改 JAR 文件并删除 JAR 文件中属于 log4j 1.x 的以下文件以缓解漏洞。它们存在于/org/apache/log4j/net/JAR 中的文件夹中:
JMSAppender.classSocketServer.classSocketAppender.classSMTPAppender.classSMTPAppender$1.class一旦删除,这些类就不能再被 log4j 日志配置使用(这是触发漏洞的方式)。
如果应用程序在修改后无法运行,则需要迁移它以使用更新的 log4j 2.x 版本:Log4j 2.3.2(用于 Java 6)、2.12.4(用于 Java 7)或 2.17.1(用于 Java 8 及更高版本)) - 请参阅https://logging.apache.org/log4j/2.x/