嗨@Lokesh Sharma,謝謝你伸出。當你意識到,已經有了0-day發現Log4j2, Java日誌庫,可能導致遠程代碼執行(遠端控製設備)如果受影響的log4j版本(2.0 < = log4j < = 2.14.1)日誌attacker-controlled字符串值沒有適當的驗證。請參閱更多細節cve - 2021 - 44228。
磚不直接使用log4j版本已知漏洞的影響在磚平台在某種程度上我們理解可能容易受到這種CVE(例如,記錄用戶控製字符串)。Beplay体育安卓版本我們已經調查了傳遞使用log4j和脆弱的使用到目前為止沒有發現任何證據。
然而,取決於你使用log4j磚dataplane集群內(例如,如果你是處理用戶控製字符串雖然log4j),你的使用可能是潛在的易受攻擊如果你有安裝和使用一個影響版本或安裝服務,也取決於一個影響版本。
如果你確定你已經這麼做了,我們建議停止使用log4j,直到你的影響版本升級到log4j 2.15版。x或配置任何影響服務已知的暫時緩解(log4j2實現。形式atMsgNoLookups set to true). Please restart the cluster once you have added the mitigation.
這樣做的步驟是:
- 編輯的火花conf”spark.driver集群和工作。extraJavaOptions”和“spark.executor。extraJavaOptions”設置為“-Dlog4j2.formatMsgNoLookups = true”
- 確認編輯重新啟動集群,或者隻是引發新工作運行將使用更新的java選項。
- 你可以確認這些設置生效的“火花UI”選項卡,在“環境”
我們正在繼續調查磚平台是否可能容易受到這種安全問題,將提供一個主動通知如果我們確定你已經影響或者可能需要采取進一Beplay体育安卓版本步的措施。
.png){kind=link}
