我想故意安装旧的易受攻击版本的 liblog4j2-java 软件包,以便测试 CVE-2021-44228 漏洞。我使用的是 Ubuntu 机器。
我知道我可以列出旧的软件包版本apt-cache madison liblog4j2-java,但这些版本仍然容易受到攻击吗?
如何下载旧的官方软件包?
答案1
修复的软件包在更新和/或安全存储库中发货;旧的、易受攻击的软件包在基础存储库中仍然可用。因此,您可以通过指定所需的版本来安装后者:
- 18.04
sudo apt install liblog4j2-java=2.10.0-2,; - 20.04
sudo apt install liblog4j2-java=2.11.2-1,; - 21.04 和 21.10,
sudo apt install liblog4j2-java=2.13.3-1.
版本由 所示apt-cache madison。
进一步阅读:如何安装具有确切版本的特定 Ubuntu 软件包?和USN-5192-1:Apache Log4j 2 漏洞。