附:从jar包中删除class文件的方法:
注意:
如果容器化部署,容器实例重启后操作会复原,需要重新操作。
实际执行需要关注文件属主和权限等安全属性。
1. 非SpringBoot的jar包,直接删除log4j-core-*.jar中class文件
zip -q -d */WEB-INF/lib/log4j-core-2.0.1.jar org/apache/logging/log4j/core/lookup/JndiLookup.class ;
2. SpringBoot的jar包,需要解压出log4j-core*.jar,删除class文件后重新打包
2.1 使用zip和unzip命令
# 以Demo.jar为例
## 解压获得log4j-core*.jar
unzip -o Demo.jar BOOT-INF/lib/log4j-core*.jar
## 删除class
zip -q -d BOOT-INF/lib/log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
## 重新打包
zip -r -0 Demo.jar BOOT-INF/
## 检查jar包中的log4j-core*.jar包是否已经更新
unzip -l Demo.jar | grep log4j-core
## 删除临时文件
rm -rf BOOT-INF/
## 检查下jar包是否可以正常启动
java -jar Demo.jar
2.2 使用jar命令(需要jdk)
# 以Demo.jar为例
## 创建临时目录
rm -rf tmp && mkdir tmp && cd tmp
## 解压
jar -xf ../Demo.jar
## 删除class
zip -q -d BOOT-INF/lib/log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
## 重新打包
jar -cfm0 Demo.jar ./META-INF/MANIFEST.MF ./
## 删除临时文件
rm -rf BOOT-INF/ META-INF/ org/
## 检查下jar包是否可以正常启动
java -jar Demo.jar
————————————————
版权声明:本文为CSDN博主「杨小熊的笔记」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Next_Second/article/details/121941830
https://blog.csdn.net/Next_Second/article/details/121941830
分享到:
相关推荐
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
vulhub靶机里的这个漏洞里缺少了curl或者wget这些命令
开源日志框架Apache Log4j2远程代码执行漏洞升级包
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
Apache Log4j2紧急缓解措施
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...
Apache Log4j 2.0 发布第 4 个 Beta 版本,包括的新特性有: o Added Log4j 2 to SLF4J adapter. o LOG4J2-131: Add SMTPAppender. Thanks to Scott Severtson. o Added hostName and contextName to property ...
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.tar.gz) 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全...
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4j,log4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压...
apache log4j-2.15.0-rc2 编译后 jar 文件 应对 Apache Log4j2远程代码执行漏洞 jar文件在每个组件下的 target 文件夹中 jar文件在每个组件下的 target 文件夹中 jar文件在每个组件下的 target 文件夹中
Apache Log4j 2 (apache-log4j-2.17.1-bin.tar.gz)是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.zip) 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞...
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
Apache Log4j_1.2.17 完整依赖包,在jdk1.8.201中测试通过。使用教程https://www.tutorialspoint.com/springmvc/springmvc_log4j.htm
赠送jar包:apache-log4j-extras-1.2.17.jar; 赠送原API文档:apache-log4j-extras-1.2.17-javadoc.jar; 赠送Maven依赖信息文件:apache-log4j-extras-1.2.17.pom; 包含翻译后的API文档:apache-log4j-extras-...
升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 ...