NCSC는 버전 2.15.0 이상으로 업데이트할 것을 권장하며, 이것이 가능하지 않은 경우 시스템 속성 "log4j2.formatMsgNoLookups"를 "true"로 설정하거나 버전의 클래스 경로 결함에서 JndiLookup 클래스를 제거하여 Log4j 2.10 이상을 완화할 것을 권장합니다.
원천:https://www.zdnet.com/article/log4j-zero-day-flaw-what-you-need-to-know-and-how-to-protect-yourself/
pi@nextcloudpi:~/log4j-detector-master $ uname -a
Linux nextcloudpi 5.10.63-v7+ #1496 SMP Wed Dec 1 15:58:11 GMT 2021 armv7l GNU/Linux
log4j 버전을 검색하는 간단한 터미널 명령이 있습니까?
시험:
Apache 웹 서버를 테스트합니다.https://stackoverflow.com/a/55107891
pi@nextcloudpi:~ $ps -acx|grep apache
705 ? Ss 0:53 apache2
1600 ? Sl 0:01 apache2
1601 ? Sl 0:01 apache2
압축을 푼다:wget https://github.com/mergebase/log4j-detector/archive/refs/heads/master.zip
pi@nextcloudpi:~/log4j-detector-master $ java -jar log4j-detector-2021.12.14.jar [path-to-scan] > hits.txt
-bash: java: command not found
NCP 서버에 JDK를 설치하고 싶지 않습니다.
답변1
log4j 소프트웨어가 타사 애플리케이션과 번들로 제공될 수 있지만 다음 명령을 사용하여 Raspbian에서 liblog4j2-java 운영 체제 패키지의 상태를 검색할 수 있습니다.
dpkg --get-selections | grep liblog4j2-java
이는 다음을 기반으로 합니다.라즈베리파이 연결페이지의 "설치된 패키지 확인" 아래
검색해서 패키지 이름을 알아냈어요라즈비안 자바 패키지log4j의 페이지. "liblog4j1.2-java"는 log4j 버전 1이고 "liblog4j2-java"는 log4j 버전 2입니다.최근 CVE너는보고있다.