視情況而定。
問題是脆弱性cve - 2021 - 44228。
Log4j 2.0 -beta9 2.14.1是脆弱的。與版本2.15.0問題得到解決。
這取決於你的Log4j版本正在運行。
你可以設置“log4j2。形式atMsgNoLookups' to 'true' by addubg ‐Dlog4j2.formatMsgNoLookups=True” to the cluster startup params.
我不知道每個磚log4j版本版本。
也許有人從磚可以告訴我們哪些版本的影響。
嗨@Lokesh Sharma,謝謝你伸出。當你意識到,已經有了0-day發現Log4j2, Java日誌庫,可能導致遠程代碼執行(遠端控製設備)如果受影響的log4j版本(2.0 < = log4j < = 2.14.1)日誌attacker-controlled字符串值沒有適當的驗證。請參閱更多細節cve - 2021 - 44228。
磚不直接使用log4j版本已知漏洞的影響在磚平台在某種程度上我們理解可能容易受到這種CVE(例如,記錄用戶控製字符串)。Beplay体育安卓版本我們已經調查了傳遞使用log4j和脆弱的使用到目前為止沒有發現任何證據。
然而,取決於你使用log4j磚dataplane集群內(例如,如果你是處理用戶控製字符串雖然log4j),你的使用可能是潛在的易受攻擊如果你有安裝和使用一個影響版本或安裝服務,也取決於一個影響版本。
如果你確定你已經這麼做了,我們建議停止使用log4j,直到你的影響版本升級到log4j 2.15版。x或配置任何影響服務已知的暫時緩解(log4j2實現。形式atMsgNoLookups set to true). Please restart the cluster once you have added the mitigation.
這樣做的步驟是:
我們正在繼續調查磚平台是否可能容易受到這種安全問題,將提供一個主動通知如果我們確定你已經影響或者可能需要采取進一Beplay体育安卓版本步的措施。