log4j漏洞修复（过程记录）

log4j漏洞修复（过程记录） log4j2的漏洞问题不多说，相信小伙伴们已经了解 影响版本

经验证 2.15.0-rc1 版本存在绕过，实际受影响范围如下：

Apache Log4j 2.x < 2.15.0-rc2

解决方案

升级log4j版本。

处理过程

1：下载log4j-api-log4j-2.15.0-rc2.jar
2：发布到maven私服仓库。执行maven命令：

mvn deploy:deploy-file -DgroupId=org.apache.logging.log4j -DartifactId=log4j-api -Dversion=log4j-2.15.0-rc2 -Dpackaging=jar -Dfile=D:/log4j-2.15.0-rc2.jar -Durl=http://192.168.200.39:8081/repository/maven-releases/ -DrepositoryId=maven-releases
mvn deploy:deploy-file -DgroupId=org.apache.logging.log4j -DartifactId=log4j-to-slf4j -Dversion=log4j-2.15.0-rc2 -Dpackaging=jar -Dfile=D:/log4j-2.15.0-rc2.jar -Durl=http://192.168.200.39:8081/repository/maven-releases/ -DrepositoryId=maven-releases

执行install命令，本地执行成功，本地仓库jar发布成功，但deploy命令结果如下

原因是maven仓库权限的限制，在setting.xml文件中找到私服的账号密码，登陆上去并找到设置，如下图

再次执行mvn-deploy命令

发布到仓库成功，更新项目中的log4j版本

            org.apache.logging.log4j
            log4j-api
            log4j-2.15.0-rc2
            rc2
        

        
            org.apache.logging.log4j
            log4j-to-slf4j
            log4j-2.15.0-rc2
            rc2
        

另一种方案

强制更新log4j版本到2.17.1，此log4j漏洞仅为Log4j 2.x < 2.15.0-rc2中价版本，版本更新了就可以。

如有不对，欢迎指正。