[英]fix for log4j vulnerability (CVE-2021-44228) for Apache storm?
apache風暴沒有不使用log4j 2.x版本(受CVE-2021-44228漏洞影響)的版本。
我在 log4j 網站上找到了這個修復:
you may remove the **JndiLookup** class from the classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
但我不確定這樣做是否會對我的 apache 風暴功能產生任何其他影響,如果風暴內部使用 JndiLookup class 會怎樣。
對於 log4j 漏洞 (CVE-2021-44228),我可以對我的 storm 安裝 (storm 2.2.0) 應用什么修復?
最近在 2022 年 3 月發布的Storm 2.4.0 版本解決了您的顧慮。
或者,您可以使用 Java class 加載機制的原理手動修補它:
以這種方式識別並下載官方補丁(及其依賴項): https://mvnrepository.com/artifact/org.apache.logging.log4j
為了方便,直接鏈接:
替換apache-storm-2.2.0/lib
中的庫:
log4j-core-2.11.2.jar --> log4j-core-2.17.2.jar log4j-api-2.11.2.jar --> log4j-api-2.17.2.jar log4j-slf4j-impl-2.11.2.jar --> log4j-slf4j-impl-2.17.2.jar
驗證升級是否成功:
nimbus.log
文件是否正確生成nimbus.log
nimbus.log
文件打印出 oassoazZooKeeper 中的 3 個更新庫oassoazZooKeeper [INFO] Client environment:java.class.path=
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.