AWS的Corretto團隊對log4j RCE漏洞的熱修補機制
AWS 的 Corretto 團隊一直致力於從 CVE-2021-44228 對 log4j RCE 進行熱修補的機制。點選標題見Github專案,這是針對 CVE-2021-44228 的 log4j RCE 進行熱修補的代理。
它是將 Java 代理注入正在執行的 JVM 程式的工具。代理將嘗試修補lookup()所有已載入org.apache.logging.log4j.core.lookup.JndiLookup例項的方法以無條件返回字串“Patched JndiLookup::lookup()”。它旨在解決Log4j 中的CVE-2021-44228遠端程式碼執行漏洞,而無需重新啟動 Java 程式。此工具還將解決CVE-2021-45046 問題。
目前僅在 Linux 上使用 JDK 8、11、15 和 17 進行了測試!
執行:
JDK 8
- java -cp <java-home>/lib/tools.jar:Log4jHotPatch.jar Log4jHotPatch <java-pid>
JDK 11 及更新版本
- java -jar Log4jHotPatch.jar <java-pid>
<java-pid>是你正在執行的JVM程式的PID,透過ps-ax等命令可查詢到PID。
相關文章
- Log4j 漏洞修復和臨時補救方法
- 谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補谷歌微軟資料庫
- 無窮無盡!微軟警告另一個未修補的Windows Print Spooler RCE漏洞微軟Windows
- 利用漏洞修復漏洞:青藤提供的「Log4j命令注入漏洞(CVE-2021-44228)」【免重啟】線上熱補丁服務現已上線!
- DevOps 團隊的漏洞管理指南dev
- iOS 漏洞影響 5 億手機;黑客竊取 2500 萬加密貨幣被迫退回;Chrome 緊急補丁修復 RCE 漏洞iOS黑客加密Chrome
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 靜態程式碼檢測工具Wukong對log4J中的漏洞檢測、分析及漏洞修復
- Adobe修復一個由360團隊發現的Flash Player零日漏洞
- 6、Git之團隊協作機制Git
- RCE漏洞常用的Payload總結
- 在log4j日誌包中發現RCE 0-day漏洞 - lunasec
- 覆盤機制如何在新團隊落地?
- 微軟動作太慢:0patch團隊搶先發布Win10 IE安全漏洞修復補丁微軟Win10
- 美團針對Redis Rehash機制的探索和實踐Redis
- 補丁已釋出近半年,50%聯網的GitLab仍受到RCE缺陷漏洞影響Gitlab
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 端午團隊大PK!【漏洞翻倍獎勵+團隊獎勵】爽歪歪!
- 【Android 熱修復】美團Robust熱修復框架原理解析Android框架
- 探索 .NET團隊對API的設計流程API
- 高危漏洞!Apache Log4j 遠端程式碼執行漏洞(附修復建議)Apache
- Go 核心團隊 Russ Cox "駁斥"AWS 博文作者 :對 Go 存在嚴重誤導!Go
- 最新!Adobe 釋出修復Flash Player關鍵漏洞的安全補丁
- Sunlogin RCE漏洞分析和使用
- spark未授權RCE漏洞Spark
- 記憶體安全週報第104期|微軟釋出了針對121個漏洞的修補程式記憶體微軟
- 怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補網站SQL
- React官方團隊出手,補齊原生Hook短板ReactHook
- Java的Fastjson庫爆高嚴重性RCE漏洞JavaASTJSON
- 如何設計投放系統系列—-靈活的欄位對映補全機制
- AWS RDS強制升級的應對之道——版本升級的最佳實踐
- Android熱修復原理(一)熱修復框架對比和程式碼修復Android框架
- 深圳SEO外包企業對運營團隊的理解
- 網站漏洞修復服務商對繞過認證漏洞的探討網站
- Webpack 熱更新機制Web
- 高峰論壇|Log4j漏洞——安全運營應對之道
- AdobeReader9.3.2釋出修補15個安全漏洞
- 熱度過後《黑神話:悟空》開發團隊如何應對挖角事件?事件