1.漏洞描述
ApacheLog4j2远程代码执行漏洞,由于ApacheLog4j2某些功能存在递归解析功能,攻击者可利用该漏洞直接构造恶意请求,触发远程代码执行,Log4j2漏洞版本范围:ApacheLog4j2.*,<=2.14.1
2.达梦DEM升级方式
升级替换DEM及dmagent部署目录中的Log4j2组件(log4j-api-2.xxx.jar/log4j-core-2.xxx.jar)至2.15.0,Log4j2官网下载地址:https://logging.apache.org/log4j/2.x/download.html。
我们下载bin包就行,里面全是jar。目前官方已经升级到2.17。
3.dem服务端升级方法
dem的目录一般都在webapp/dem/WEB-INF/lib下面
替换2个jar旧可以,使用新版本的 log4j-core-2.17.0.jar 和 log4j-api-2.17.0.jar
下面截图有点旧,使用的是2.15版本,实际更换时,用最新版本。
4.dmagent升级方法
dmagent的路径一般都在dmagent/lib下面替换即可
下面截图有点旧,使用的是2.15版本,实际更换时,用最新版本。
替换后启动dem服务端 和 dmagent 客户端即可(dmagent用root启动的),目前为止,没有看到任何错误。jar小版本的替换,一般没有风险。