NCSC 建议更新到版本 2.15.0 或更高版本,并且在不可能的情况下,通过将系统属性“log4j2.formatMsgNoLookups”设置为“true”或从类路径中删除 JndiLookup 类来缓解 Log4j 2.10 及更高版本中的缺陷。
来源:https://www.zdnet.com/article/log4j-zero-day-flaw-what-you-need-to-know-and-how-to-protect-yourself/
pi@nextcloudpi:~/log4j-detector-master $ uname -a
Linux nextcloudpi 5.10.63-v7+ #1496 SMP Wed Dec 1 15:58:11 GMT 2021 armv7l GNU/Linux
是否有一个简单的终端命令可以检索 log4j 的版本?
测试:
测试 Apache Web 服务器:https://stackoverflow.com/a/55107891
pi@nextcloudpi:~ $ps -acx|grep apache
705 ? Ss 0:53 apache2
1600 ? Sl 0:01 apache2
1601 ? Sl 0:01 apache2
解压:wget https://github.com/mergebase/log4j-detector/archive/refs/heads/master.zip
pi@nextcloudpi:~/log4j-detector-master $ java -jar log4j-detector-2021.12.14.jar [path-to-scan] > hits.txt
-bash: java: command not found
我不愿意在 NCP 服务器上安装 JDK。
答案1
虽然 log4j 软件可以与第三方应用程序捆绑在一起,但您可以使用以下命令在 Raspbian 中检索 liblog4j2-java 操作系统包的状态:
dpkg --get-selections | grep liblog4j2-java
这是基于树莓派连接页面,在“检查安装了哪些软件包”下
我通过搜索确定了包名称Raspbian Java 包log4j 的页面。请注意,“liblog4j1.2-java”是 log4j 的版本 1,而“liblog4j2-java”是 log4j 的版本 2,它具有最近的 CVE你正在看。