我正在为CVE-2021-44228和其他类似的log4j发现修复我的Jetty java应用程序。
我试着升级到2.17.0,但并不是所有的应用程序都能升级,因为其中一些应用程序依赖于旧版本的Jetty,由于多java发布jar,该版本不适用于新的log4j(请参阅错误扫描条目META-INF/versions/9.org/apache/logging/log4j/util/StackLocator.class with Jetty and log4j 2.9.1?(
显然,我正在努力将这些应用程序升级到Jetty的最新版本,但这涉及到很多方面。这需要一些时间。
所以我一直在手动修正log4j 2.8.2版本(不是多版本格式jar的最新版本(。
我已经对log4j文件{nolookups}进行了修正,并添加了命令行参数来禁用JNDI查找。
我知道我可以删除JNDILookup.class,这有助于修复主要问题。
有没有官方的2.8.2版本的补丁可以在我们可以使用的地方使用?
如果你还在那些旧应用程序上使用Java 8,那么只需重新打包那些多版本的jar文件,而不需要它们的META-INF/versionsJAR文件目录。
如果您使用的是Java 9或更高版本,那么您将被那些META-INF/versionsJAR文件目录所困扰,并且此建议不适合您。