AWS 的 Corretto 团队一直致力于从 CVE-2021-44228 对 log4j RCE 进行热修补的机制。点击标题见Github项目,这是针对 CVE-2021-44228 的 log4j RCE 进行热修补的代理。
它是将 Java 代理注入正在运行的 JVM 进程的工具。代理将尝试修补lookup()所有已加载org.apache.logging.log4j.core.lookup.JndiLookup实例的方法以无条件返回字符串“Patched JndiLookup::lookup()”。它旨在解决Log4j 中的CVE-2021-44228远程代码执行漏洞,而无需重新启动 Java 进程。此工具还将解决CVE-2021-45046 问题。
目前仅在 Linux 上使用 JDK 8、11、15 和 17 进行了测试!
运行:
JDK 8
- java -cp <java-home>/lib/tools.jar:Log4jHotPatch.jar Log4jHotPatch <java-pid>
JDK 11 及更新版本
- java -jar Log4jHotPatch.jar <java-pid>
<java-pid>是你正在运行的JVM进程的PID,通过ps-ax等命令可查找到PID。