我想故意安装旧的易受攻击版本的 liblog4j2-java 包,以测试 CVE-2021-44228 漏洞。我正在使用 Ubuntu 机器。
我知道我可以用 列出旧的软件包版本apt-cache madison liblog4j2-java,但是这些仍然容易受到攻击吗?
如何下载旧的但官方的软件包?
AskOverflow.Dev
我想故意安装旧的易受攻击版本的 liblog4j2-java 包,以测试 CVE-2021-44228 漏洞。我正在使用 Ubuntu 机器。
我知道我可以用 列出旧的软件包版本apt-cache madison liblog4j2-java,但是这些仍然容易受到攻击吗?
如何下载旧的但官方的软件包?
固定包在更新和/或安全存储库中提供;旧的、易受攻击的软件包仍然在基础存储库中可用。因此,您可以通过指定所需版本来安装后者:
sudo apt install liblog4j2-java=2.10.0-2;sudo apt install liblog4j2-java=2.11.2-1;sudo apt install liblog4j2-java=2.13.3-1.版本由 显示
apt-cache madison。进一步阅读:如何安装具有确切版本的特定 Ubuntu 软件包?和USN-5192-1:Apache Log4j 2 漏洞。