我使用的是带有Scala 2.12的Databricks集群版本7.3 LTS。official docs说它使用Log4J版本1.2.17。这是否意味着我没有此漏洞?如果有,我可以在集群上手动修补它吗?还是需要将集群升级到下一个LTS版本?
1.2.17
k4emjkb11#
正如您所写的,大多数Databricks群集使用1.2.17,因此它是不同的版本,受漏洞影响的版本不是由Databricks使用的。只有一个问题是当你自己在集群上安装不同的版本时。即使你安装了受影响的版本,你也可以通过在集群高级配置中设置Spark配置来缓解这个问题,如下所示:
spark.driver.extraJavaOptions "-Dlog4j2.formatMsgNoLookups=true" spark.executor.extraJavaOptions "-Dlog4j2.formatMsgNoLookups=true"
vom3gejh2#
您可以在此处获得完整e2e更新:https://databricks.com/blog/2021/12/13/log4j2-vulnerability-cve-2021-44228-research-and-assessment.html
2条答案
按热度按时间k4emjkb11#
正如您所写的,大多数Databricks群集使用1.2.17,因此它是不同的版本,受漏洞影响的版本不是由Databricks使用的。
只有一个问题是当你自己在集群上安装不同的版本时。即使你安装了受影响的版本,你也可以通过在集群高级配置中设置Spark配置来缓解这个问题,如下所示:
vom3gejh2#
您可以在此处获得完整e2e更新:https://databricks.com/blog/2021/12/13/log4j2-vulnerability-cve-2021-44228-research-and-assessment.html