Eu quero instalar intencionalmente a antiga versão vulnerável do pacote liblog4j2-java para testar a vulnerabilidade CVE-2021-44228. Estou usando uma máquina Ubuntu.
Eu sei que posso listar versões antigas de pacotes com apt-cache madison liblog4j2-java, mas elas ainda são vulneráveis?
Como posso baixar os pacotes antigos, mas oficiais?
Os pacotes fixos são enviados nos repositórios de atualizações e/ou segurança; os pacotes antigos e vulneráveis ainda estão disponíveis no repositório base. Você pode, portanto, instalar o último especificando a versão desejada:
sudo apt install liblog4j2-java=2.10.0-2;sudo apt install liblog4j2-java=2.11.2-1;sudo apt install liblog4j2-java=2.13.3-1.As versões são mostradas por
apt-cache madison.Leitura adicional: Como instalar pacotes específicos do Ubuntu, com a versão exata? e USN-5192-1: vulnerabilidade Apache Log4j 2 .