NCSCはバージョン2.15.0以降にアップデートすることをお勧めします。これが不可能な場合は、システムプロパティ「log4j2.formatMsgNoLookups」を「true」に設定するか、バージョンのクラスパス障害からJndiLookupクラスを削除してLog4j 2.10以降を軽減するをお勧めします。
源泉:https://www.zdnet.com/article/log4j-zero-day-flaw-what-you-need-to-know-and-how-to-protect-yourself/
pi@nextcloudpi:~/log4j-detector-master $ uname -a
Linux nextcloudpi 5.10.63-v7+ #1496 SMP Wed Dec 1 15:58:11 GMT 2021 armv7l GNU/Linux
log4jバージョンを検索する単純な端末コマンドはありますか?
テスト:
Apache Webサーバーをテストします。https://stackoverflow.com/a/55107891
pi@nextcloudpi:~ $ps -acx|grep apache
705 ? Ss 0:53 apache2
1600 ? Sl 0:01 apache2
1601 ? Sl 0:01 apache2
解凍:wget https://github.com/mergebase/log4j-detector/archive/refs/heads/master.zip
pi@nextcloudpi:~/log4j-detector-master $ java -jar log4j-detector-2021.12.14.jar [path-to-scan] > hits.txt
-bash: java: command not found
NCPサーバーにJDKをインストールしたくありません。
ベストアンサー1
log4jソフトウェアはサードパーティのアプリケーションにバンドルされていますが、次のコマンドを使用してRaspbianからliblog4j2-javaオペレーティングシステムパッケージのステータスを取得できます。
dpkg --get-selections | grep liblog4j2-java
これは以下に基づいています。ラズベリーパイ接続ページの「インストール済みパッケージの確認」の下に
検索してパッケージ名を見つけました。ラズビアンJavaパッケージlog4jのページ。 「liblog4j1.2-java」はlog4jバージョン1、「liblog4j2-java」はlog4jバージョン2です。最近のCVEあなたは見ています。