大数据组件Log4j2漏洞升级

Posted 2023-04-18

参考技术A 方案思路是，在初始化主机的时候加上防火墙策略，集群间开启白名单，对外开放我们需要用到的端口， firewall 可能要用到的语句如下：

其实一些像Zookeeper和Kafka这些用的Log4j是没有啥影响的，但是合作商需要你升级，因为一个漏洞就要把对应组件版本升级不太实际，组件的版本升级我们还需要做版本调研和适配，所以采用的方案是更换 jar包 重新打包，目前基于Java的组件如下： Zookeeper 、 Kafka 、 Flink 、 Elastiserch 、 Neo4j 还有自身的基于SpringBoot基础平台服务。

SpringBoot升级对应log4j2版本即可。

删除jar包

添加jar包

log4j.properties 文件

添加JVM配置，其中 log4j.configurationFile 用于指定log4j2的日志配置文件， zookeeper.jmx.log4j.disable 用于关闭jmx。

删除jar包

添加jar包

删除jar包

添加jar包

删除jar包

添加jar包

Neo4j 我们的版本没有影响，可以参考官方 《Apache Log4j Security Vulnerability》

像 Hadoop 、 Hbase 、 Hive 、 Spark 这些组件我们目前不做调整，有做过适配的欢迎推荐参考资料，因为不排除后期也要做升级处理。

Tomcat 又爆出高危漏洞！！Tomcat 8.5 ～ 10 中招…

Java技术栈

www.javastack.cn

关注阅读更多优质文章

开源界最近很热闹啊，各个主流软件或框架漏洞频发，比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。

不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。

2020年06月23日：

最新！Dubbo 远程代码执行漏洞通告，速度升级：

2020年05月28日：

Fastjson 又出高危漏洞，可远程执行代码：

2020年02月20日：

Tomcat AJP 协议漏洞：

前段时间这个 Tomcat AJP 协议漏洞大躁，2020/06/25 这天 Tomcat 又爆出 HTTP/2 拒绝服务漏洞：

http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3e

这是一封来自 Apache 官方安全团队的邮件，已通过 Apache Tomcat 用户邮件公开报告了此问题，邮件中介绍了 HTTP/2 拒绝服务漏洞的各方面细节及解决方案。

漏洞名称： Apache Tomcat HTTP/2 拒绝服务漏洞

漏洞编号： CVE-2020-11996

严重程度: 重要

软件提供商: Apache 软件基金会

受影响的版本：

• Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5
• Apache Tomcat 9.0.0.M1 ~ 9.0.35
• Apache Tomcat 8.5.0 ~ 8.5.55

漏洞描述：

一个特别制作的 HTTP/2 请求序列，在短短数秒内能导致 CPU 满负载率，如果有足够数量多的此类请求连接（HTTP/2）并发打在服务器上，服务器可能会失去响应。

解决方案：

• 升级到 Apache Tomcat 10.0.0-M6＋
• 升级到 Apache Tomcat 9.0.36＋
• 升级到 Apache Tomcat 8.5.56＋

升级到对应的版本即可，另外，从官方揭示的信息来看，Tomcat 8.5 以下版本不受影响，是因为 Tomcat 8.5＋才开始有了对 HTTP/2 的支持吧。

相关阅读：

参考：

[1] http://tomcat.apache.org/security-10.html
[2] http://tomcat.apache.org/security-9.html
[3] http://tomcat.apache.org/security-8.html

HTTP/2 拒绝服务漏洞还算好，因为 Tomcat 中默认使用 HTTP/1.1 协议，如果你们没有用 HTTP/2 那就没问题，如果开启了就要注意升级了。

最近热文：

1、

2、

3、

4、

5、

6、

7、

8、

9、

10、

扫码关注 Java技术栈 公众号阅读更多干货。

点击「」获取面试题大全～