我的漏洞扫描程序最近在我们最近部署的 MS SQL 版本 (SQL 2019) 中标记了 Apache Log4j 不受支持的安装。这导致了两个我必须解决的高优先级发现。具体来说,似乎与文件 log4j-1.2.17.jar 有关。
显然,这里有一个 2.17.1 版本可用: https://logging.apache.org/log4j/2.x/download.html
不幸的是,我不知道如何使用它。没有安装程序,只有一堆文件。同一个网站上有一部分文章似乎是针对开发人员如何使用 Apache2(这似乎就是这个文件集合的实际用途),但我不是开发人员,只是系统管理员。我怀疑这不仅仅是一个拖放操作,因为我确信标记的文件会以某种方式被应用程序调用。
不幸的是,除了不是开发人员之外,我并不深入了解 MS SQL 2019 的实际功能,所以我不知道如果我只是手动将该文件替换为新文件会发生什么问题(并且无论如何也没有明确的候选方案)。
对于为自己使用而安装特定版本的应用程序,是否有任何指导关于如何在 Apache 版本之间迁移?
答案1
如果你没有项目的源代码,只想修复 log4j 1.x 漏洞,你可以使用重新加载4jlog4j-1.2.17.jar项目。它允许用 reload4j jar 文件替换该文件而无需进行其他更改。
reload4j 项目是 Apache log4j 版本 1.2.17 的一个分支,用于修复最紧迫的安全问题。它旨在作为 log4j 版本 1.2.17 的直接替代品。所谓直接替代品,是指在您的构建中用 reload4j.jar 替换 log4j.jar,而无需更改源代码(即您的 java 文件)。