AWS的Corretto團隊對log4j RCE漏洞的熱修補機制
AWS 的 Corretto 團隊一直致力於從 CVE-2021-44228 對 log4j RCE 進行熱修補的機制。點選標題見Github專案,這是針對 CVE-2021-44228 的 log4j RCE 進行熱修補的代理。
它是將 Java 代理注入正在執行的 JVM 程式的工具。代理將嘗試修補lookup()所有已載入org.apache.logging.log4j.core.lookup.JndiLookup例項的方法以無條件返回字串“Patched JndiLookup::lookup()”。它旨在解決Log4j 中的CVE-2021-44228遠端程式碼執行漏洞,而無需重新啟動 Java 程式。此工具還將解決CVE-2021-45046 問題。
目前僅在 Linux 上使用 JDK 8、11、15 和 17 進行了測試!
執行:
JDK 8
- java -cp <java-home>/lib/tools.jar:Log4jHotPatch.jar Log4jHotPatch <java-pid>
JDK 11 及更新版本
- java -jar Log4jHotPatch.jar <java-pid>
<java-pid>是你正在執行的JVM程式的PID,透過ps-ax等命令可查詢到PID。
相關文章
- 谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補谷歌微軟資料庫
- 無窮無盡!微軟警告另一個未修補的Windows Print Spooler RCE漏洞微軟Windows
- Scrum團隊的個人獎勵機制Scrum
- iOS 漏洞影響 5 億手機;黑客竊取 2500 萬加密貨幣被迫退回;Chrome 緊急補丁修復 RCE 漏洞iOS黑客加密Chrome
- DevOps 團隊的漏洞管理指南dev
- 利用漏洞修復漏洞:青藤提供的「Log4j命令注入漏洞(CVE-2021-44228)」【免重啟】線上熱補丁服務現已上線!
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 補發的團隊貢獻分分配
- 靜態程式碼檢測工具Wukong對log4J中的漏洞檢測、分析及漏洞修復
- 對其他團隊的評論
- 對其他團隊的評價
- 覆盤機制如何在新團隊落地?
- 微軟動作太慢:0patch團隊搶先發布Win10 IE安全漏洞修復補丁微軟Win10
- Adobe修復一個由360團隊發現的Flash Player零日漏洞
- 打造具備互補測試技能的團隊
- 對其他各團隊的評價
- 端午團隊大PK!【漏洞翻倍獎勵+團隊獎勵】爽歪歪!
- 在log4j日誌包中發現RCE 0-day漏洞 - lunasec
- Binder機制的細節補充
- 四大“白帽軍團”齊發威 微軟補丁日修56處漏洞微軟
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 補丁已釋出近半年,50%聯網的GitLab仍受到RCE缺陷漏洞影響Gitlab
- spark未授權RCE漏洞Spark
- tinker熱修復——補丁載入合成
- Go 核心團隊 Russ Cox "駁斥"AWS 博文作者 :對 Go 存在嚴重誤導!Go
- 探索 .NET團隊對API的設計流程API
- 對各團隊評價
- 程式設計師成長路上的團隊修煉之道程式設計師
- React官方團隊出手,補齊原生Hook短板ReactHook
- 熱度過後《黑神話:悟空》開發團隊如何應對挖角事件?事件
- 怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補網站SQL
- 高危漏洞!Apache Log4j 遠端程式碼執行漏洞(附修復建議)Apache
- Linux下堆漏洞的利用機制Linux
- Sunlogin RCE漏洞分析和使用
- 有機性整體:教堂裡的團隊
- [專案管理]空降與團隊的融合對話專案管理
- 網路時代的團隊:虛擬團隊(轉)
- [企業管理]關於最佳團隊、團隊融合程度和開發效率的引入對話