????????想必大家最近都被各大门户网站上曝光的有关log4j远程命令执行高危漏洞的新闻轰炸的快麻木了吧?部分网站甚至采用了“核弹级”这样的用词来形容此次log4j的反序列化漏洞,主要原因还是因为log4j在Java应用程序开发中被广泛采用,尤其是一些Java Web类的网站后台程序。
? ? ? ? 关于这个高危漏洞,网上铺天盖地的文章介绍,这里就不多做赘述了,直接上最新的漏洞修复版的2.16.0版本的官方下载地址:
????????虽然,官方给出了两种压缩格式的包,但是经过Beyond Compare对解压后的压缩包里面的文件对比发现,这两个包里面的文件一模一样。
?????????因此,只需要下载其中之一即可,然后使用压缩包里面的文件(主要是两个文件:log4j-api-2.16.0.jar 和 log4j-core-2.16.0.jar)。覆盖生产服务器上的对应的文件,并且更新ClassPath文件中的文件名。如果生产服务器上部署的是微服务的话,可能就需要本地重新编译、打包、部署了。当然,这些覆盖和重新部署,肯定是基于本地测试通过为前提。建议这些工作由本项目的专业开发人员、测试人员配合完成。