大数据组件Log4j2漏洞升级

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了大数据组件Log4j2漏洞升级相关的知识,希望对你有一定的参考价值。

参考技术A 方案思路是,在初始化主机的时候加上防火墙策略,集群间开启白名单,对外开放我们需要用到的端口, firewall 可能要用到的语句如下:

其实一些像Zookeeper和Kafka这些用的Log4j是没有啥影响的,但是合作商需要你升级,因为一个漏洞就要把对应组件版本升级不太实际,组件的版本升级我们还需要做版本调研和适配,所以采用的方案是更换 jar包 重新打包,目前基于Java的组件如下: Zookeeper 、 Kafka 、 Flink 、 Elastiserch 、 Neo4j 还有自身的基于SpringBoot基础平台服务。

SpringBoot升级对应log4j2版本即可。

删除jar包

添加jar包

log4j.properties 文件

添加JVM配置,其中 log4j.configurationFile 用于指定log4j2的日志配置文件, zookeeper.jmx.log4j.disable 用于关闭jmx。

删除jar包

添加jar包

删除jar包

添加jar包

删除jar包

添加jar包

Neo4j 我们的版本没有影响,可以参考官方 《Apache Log4j Security Vulnerability》

像 Hadoop 、 Hbase 、 Hive 、 Spark 这些组件我们目前不做调整,有做过适配的欢迎推荐参考资料,因为不排除后期也要做升级处理。

Tomcat 又爆出高危漏洞!!Tomcat 8.5 ~ 10 中招…

Java技术栈

www.javastack.cn

关注阅读更多优质文章


开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。

不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。

2020年06月23日:

最新!Dubbo 远程代码执行漏洞通告,速度升级:

2020年05月28日:

Fastjson 又出高危漏洞,可远程执行代码:

2020年02月20日:

Tomcat AJP 协议漏洞:

前段时间这个 Tomcat AJP 协议漏洞大躁,2020/06/25 这天 Tomcat 又爆出 HTTP/2 拒绝服务漏洞:

http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3e

这是一封来自 Apache 官方安全团队的邮件,已通过 Apache Tomcat 用户邮件公开报告了此问题,邮件中介绍了 HTTP/2 拒绝服务漏洞的各方面细节及解决方案。

漏洞名称: Apache Tomcat HTTP/2 拒绝服务漏洞

漏洞编号: CVE-2020-11996

严重程度: 重要

软件提供商: Apache 软件基金会

受影响的版本:

  • Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5
  • Apache Tomcat 9.0.0.M1 ~ 9.0.35
  • Apache Tomcat 8.5.0 ~ 8.5.55

漏洞描述:

一个特别制作的 HTTP/2 请求序列,在短短数秒内能导致 CPU 满负载率,如果有足够数量多的此类请求连接(HTTP/2)并发打在服务器上,服务器可能会失去响应。

解决方案:

  • 升级到 Apache Tomcat 10.0.0-M6+
  • 升级到 Apache Tomcat 9.0.36+
  • 升级到 Apache Tomcat 8.5.56+

升级到对应的版本即可,另外,从官方揭示的信息来看,Tomcat 8.5 以下版本不受影响,是因为 Tomcat 8.5+才开始有了对 HTTP/2 的支持吧。

相关阅读:

参考:

[1] http://tomcat.apache.org/security-10.html
[2] http://tomcat.apache.org/security-9.html
[3] http://tomcat.apache.org/security-8.html

HTTP/2 拒绝服务漏洞还算好,因为 Tomcat 中默认使用 HTTP/1.1 协议,如果你们没有用 HTTP/2 那就没问题,如果开启了就要注意升级了。

最近热文:
1、
2、
3、
4、
5、
6、
7、
8、
9、
10、
扫码关注 Java技术栈 公众号阅读更多干货。

点击「」获取面试题大全~

以上是关于大数据组件Log4j2漏洞升级的主要内容,如果未能解决你的问题,请参考以下文章

log4j2爆出漏洞,如何快速升级

Log4j2漏洞复现(CVE-2021-44228)

全民日志组件 Apache Log4j2 爆发漏洞,赶紧加班修复

打怪升级之小白的大数据之旅(七十三)<Flume高级>

打怪升级之小白的大数据之旅(七十三)<Flume高级>

打怪升级之小白的大数据之旅(七十三)<Flume高级>