我想故意安装旧的易受攻击版本的 liblog4j2-java 软件包,以便测试 CVE-2021-44228 漏洞。我使用的是 Ubuntu 机器。
我知道我可以列出旧的软件包版本apt-cache madison liblog4j2-java,但这些版本仍然容易受到攻击吗?
如何下载旧的官方软件包?
修复的软件包在更新和/或安全存储库中发货;旧的、易受攻击的软件包在基础存储库中仍然可用。因此,您可以通过指定所需的版本来安装后者:
sudo apt install liblog4j2-java=2.10.0-2,;sudo apt install liblog4j2-java=2.11.2-1,;sudo apt install liblog4j2-java=2.13.3-1.版本由 所示apt-cache madison。
进一步阅读:如何安装特定的 Ubuntu 软件包,以及确切的版本?和USN-5192-1:Apache Log4j 2 漏洞。