Apache Storm？log4j漏洞(CVE-2021-44228)修复程序

ogq8wdun 于 2022-11-06 发布在 Apache

关注(0)|答案(1)|浏览(192)

没有不使用log4j 2.x版本（受CVE-2021-44228漏洞影响）的apache storm版本。
我在log4j网站上找到了此修复程序：
you may remove the**JndiLookup**class from the classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
但我不确定这样做是否会对我的apacheStorm功能产生任何其他影响，如果Storm在内部使用JndiLookup类会怎么样。

针对log4j漏洞（CVE-2021-44228），我可以对我的风暴安装（storm 2.2.0）应用什么修复程序？

Log4j

来源：https://stackoverflow.com/questions/70669781/fix-for-log4j-vulnerability-cve-2021-44228-for-apache-storm

1条答案

按热度按时间

cnjp1d6j1#

最近在2022年3月发布的Storm 2.4.0 release解决了您的问题。
或者，您可以使用Java类加载机制的原理手动修补它：

以下列方式识别并下载正式修复程序（及其相依性）：https://mvnrepository.com/artifact/org.apache.logging.log4j

为方便起见，直接链接：

log4j-core-2.11.2.jar       --> log4j-core-2.17.2.jar      
log4j-api-2.11.2.jar        --> log4j-api-2.17.2.jar       
log4j-slf4j-impl-2.11.2.jar --> log4j-slf4j-impl-2.17.2.jar

验证升级是否成功：
验证是否正确生成了任何/所有日志文件
验证是否正确生成nimbus.log文件
阴性测试用例是删除3个库，并且不会生成nimbus.log
nimbus.log文件在o.a.s.s.o.a.z.ZooKeeper [INFO] Client environment:java.class.path=中打印出3个更新的库

赞(0）回复(0）举报 2022-11-09

我来回答

Apache Storm？log4j漏洞(CVE-2021-44228)修复程序

1条答案

相关问题

热门标签

最新问答