受Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)的影响,使用e签宝电子签名SDK的开发者需要进行log4j相关Jar文件替换,用于解决此安全漏洞的影响。
log4j影响范围:
Log4j2.X≤Log4j组件版本<Log4j-2.15.0-rc2
注:Log4j-1.X不受影响
e签宝电子签名影响范围:
2021年12月23日前,电子签名SDK(悟空SDK/快捷签SDK)默认使用的log4j版本是1.2.17。
如果贵司项目中集成电子签名SDK(悟空SDK/快捷签SDK)时使用的不是log4j 1.X版本,我们建议开发者进行替换log4j升级最新版本。
升级方法:
(1)非JAVA开发语言(使用tech-sdkwrapper.war)的开发者,按以下方法进行操作:
可通过电子签名techWrapper版一键安装包下载页面下载最新版本进行部署。
或者在已部署服务中通过配置启动命令进行处理,如下:
Linux和Mac中找到/bin/catalina.sh文件,添加以下配置
export JAVA_OPTS="-Xmx2048m -Xms2048m -Djava.awt.headless=true -DtechJlj9jHJHOIuLL5CU -Dlog4j2.formatMsgNoLookups=true"
Windows中找到/bin/catalina.bat文件,添加以下配置
set JAVA_OPTS=-Xmx2048m -Xms2048m -Djava.awt.headless=true -DtechJlj9jHJHOIuLL5CU -Dlog4j2.formatMsgNoLookups=true
(2)JAVA开发语言(使用tech-sdk-XX.jar)的开发者,按以下方法进行操作:
电子签名SDK中使用的log4j组件Jar文件如下:
log4j-1.2.17.jar
slf4j-api-1.7.5.jar
slf4j-log4j12-1.7.5.jar
如果,开发者的项目中已引用上述版本的log4j组件Jar文件,请删除并重新引用下方版本的log4j组件Jar文件:
log4j-api-2.17.0.jar
log4j-core-2.17.0.jar
log4j-slf4j-impl-2.17.0.jar
slf4j-api-1.7.25.jar
可 点击此处进入 log4j2.17 版本下载页面或采用下方Maven地址下载引用log4j组件。
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.0</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.0</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-slf4j-impl -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>2.17.0</version>
<scope>test</scope>
</dependency>
<!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-api -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>1.7.25</version>
</dependency>附录:
Apache Log4j2远程代码执行漏洞排查及修复手册(国家信息安全漏洞共享平台)
如有疑问,您可在贵司所在的对接交流群(微信或钉钉)反馈或通过下方二维码进入故障紧急上报值班群。
我要纠错