取消
顯示的結果
而不是尋找
你的意思是:

Apache Log4J脆弱性

洛基
新的貢獻者三世

嗨,社區,

我們得到了一個電子郵件從我們的IT團隊關於Apache Log4J脆弱性。

隻是想知道是否我們的實現將受此影響。

我們使用以下庫或包在我們的筆記本電腦

進口org.apache.log4j.Logger

謝謝

Lokesh

11日回複11

werners1
尊敬的貢獻者三世

視情況而定。

問題是脆弱性cve - 2021 - 44228

Log4j 2.0 -beta9 2.14.1是脆弱的。與版本2.15.0問題得到解決。

這取決於你的Log4j版本正在運行。

你可以設置“log4j2。形式atMsgNoLookups' to 'true' by addubg ‐Dlog4j2.formatMsgNoLookups=True” to the cluster startup params.

我不知道每個磚log4j版本版本。

也許有人從磚可以告訴我們哪些版本的影響。

Prabakar
尊敬的貢獻者三世
尊敬的貢獻者三世

嗨@Lokesh Sharma,謝謝你伸出。當你意識到,已經有了0-day發現Log4j2, Java日誌庫,可能導致遠程代碼執行(遠端控製設備)如果受影響的log4j版本(2.0 < = log4j < = 2.14.1)日誌attacker-controlled字符串值沒有適當的驗證。請參閱更多細節cve - 2021 - 44228

磚不直接使用log4j版本已知漏洞的影響在磚平台在某種程度上我們理解可能容易受到這種CVE(例如,記錄用戶控製字符串)。Beplay体育安卓版本我們已經調查了傳遞使用log4j和脆弱的使用到目前為止沒有發現任何證據。

然而,取決於你使用log4j磚dataplane集群內(例如,如果你是處理用戶控製字符串雖然log4j),你的使用可能是潛在的易受攻擊如果你有安裝和使用一個影響版本或安裝服務,也取決於一個影響版本。

如果你確定你已經這麼做了,我們建議停止使用log4j,直到你的影響版本升級到log4j 2.15版。x或配置任何影響服務已知的暫時緩解(log4j2實現。形式atMsgNoLookups set to true). Please restart the cluster once you have added the mitigation.

這樣做的步驟是:

  1. 編輯的火花conf”spark.driver集群和工作。extraJavaOptions”和“spark.executor。extraJavaOptions”設置為“-Dlog4j2.formatMsgNoLookups = true”無標題的
  2. 確認編輯重新啟動集群,或者隻是引發新工作運行將使用更新的java選項。
  3. 你可以確認這些設置生效的“火花UI”選項卡,在“環境”未命名(1)

我們正在繼續調查磚平台是否可能容易受到這種安全問題,將提供一個主動通知如果我們確定你已經影響或者可能需要采取進一Beplay体育安卓版本步的措施。

洛基
新的貢獻者三世

謝謝,Prabakar回到我們和詳細的行動步驟,需要遵循。

你能提供一個例子,“用戶控製字符串”

werners1
尊敬的貢獻者三世

可以通過任何《旅。遠東你運行一個胖罐影響log4j版本。

但是如果你隻使用所提供的日誌數據磚我想你是安全的。

歡迎來到磚社區:讓學習、網絡和一起慶祝

加入我們的快速增長的數據專業人員和專家的80 k +社區成員,準備發現,幫助和合作而做出有意義的聯係。

點擊在這裏注冊今天,加入!

參與令人興奮的技術討論,加入一個組與你的同事和滿足我們的成員。

Baidu
map