堆棧內存溢出
  簡體   English   中英

修復 Apache 風暴的 log4j 漏洞 (CVE-2021-44228)?

[英]fix for log4j vulnerability (CVE-2021-44228) for Apache storm?

 原文  2022-01-11 16:02:21       log4j/ apache-storm/ cve-2021-44228

問題描述

apache風暴沒有不使用log4j 2.x版本(受CVE-2021-44228漏洞影響)的版本。

我在 log4j 網站上找到了這個修復:
you may remove the **JndiLookup** class from the classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

但我不確定這樣做是否會對我的 apache 風暴功能產生任何其他影響,如果風暴內部使用 JndiLookup class 會怎樣。

對於 log4j 漏洞 (CVE-2021-44228),我可以對我的 storm 安裝 (storm 2.2.0) 應用什么修復?

1 個解決方案

解決方案1
 1  2022-04-23 06:48:54

最近在 2022 年 3 月發布的Storm 2.4.0 版本解決了您的顧慮。

或者,您可以使用 Java class 加載機制的原理手動修補它:

  1. 以這種方式識別並下載官方補丁(及其依賴項): https://mvnrepository.com/artifact/org.apache.logging.log4j

    為了方便,直接鏈接:

  2. 替換apache-storm-2.2.0/lib中的庫:

     log4j-core-2.11.2.jar --> log4j-core-2.17.2.jar log4j-api-2.11.2.jar --> log4j-api-2.17.2.jar log4j-slf4j-impl-2.11.2.jar --> log4j-slf4j-impl-2.17.2.jar

  3. 驗證升級是否成功:

    • 驗證是否正確生成了任何/所有日志文件
      • 驗證nimbus.log文件是否正確生成
      • 負面測試用例是刪除 3 個庫,並且不會生成nimbus.log
    • nimbus.log文件打印出 oassoazZooKeeper 中的 3 個更新庫oassoazZooKeeper [INFO] Client environment:java.class.path=

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 log4j 漏洞 CVE-2019-17571 與 CVE-2021-44228 Log4JS npm package 是否容易受到 CVE-2021-44228 Log4J 漏洞的攻擊 Google Cloud Platform 和 PCF 上的 Log4j 漏洞 (CVE-2021-44228) CVE-2021-44228 和 log4j 1.2.17 CVE-2021-44228 - LOG4J - SNOWFLAKE 是否包含與 LOG4J 相關的任何漏洞? 謝謝 log4javascript 是否容易受到 Apache Log4j(Java 日志庫)遠程代碼執行 CVE-2021-44228 的攻擊? AWSGlueETL 依賴 log4j 安全漏洞`CVE-2021-44228` log4j 漏洞 CVE-2021-44228 是否影響 logstash-logback-encoder 是否存在受當前 log4j / CVE-2021-44228 安全問題影響的 r 軟件包? 哪個版本的 Kafka 因 log4j CVE-2021-44228 而受到影響?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM