关于apache:Apache-Pulsar-针对-Log4j2-漏洞-CVE202144228-的解决方案

50次阅读

共计 849 个字符,预计需要花费 3 分钟才能阅读完成。

作者:Matteo Merli,Apache Pulsar PMC 主席,StreamNative CTO

近日,因为 Apache Log4j2 某些性能存在递归解析性能,攻击者可间接结构歹意申请,触发近程代码执行破绽。该破绽的细节和修复停顿能够参考 CVE-2021-44228.

Apache Pulsar 的以后版本捆绑受此破绽影响的 Log4j2 版本。咱们强烈建议您遵循 Apache Log4j 社区的倡议并尽快修补您的零碎。

针对 Apache Pulsar 零碎而言,有两种解决办法能够修补 Pulsar 部署。您能够设置以下任一项:

  1. Java 属性: -Dlog4j2.formatMsgNoLookups=true
  2. 环境变量: LOG4J_FORMAT_MSG_NO_LOOKUPS=true

以上两种办法都能够无效缓解 Pulsar 服务的破绽。

此外,当应用 Kubernetes 运行时运行 Pulsar Functions 时,您应该依照以下示例更新 Docker 镜像。

如果您应用 Pulsar Helm Chart 在 Kubernetes 中进行 Pulsar 部署,该 Helm Chart 的新版本已可用,并且已利用了上述解决办法。如果你的生产环境不适宜将其降级,还能够通过将 -Dlog4j2.formatMsgNoLookups=true 增加到 configData 中的 PULSAR_EXTRA_OPTS,用于 proxy、broker、BookKeeper、ZooKeeper、主动复原和 helm 值文件中的相干组件来缓解该破绽。

社区正在减速新的补丁公布,以及 2.7.4、2.8.2 与 2.9.1 版本的公布,这些版本将在将来几天内准备就绪,并将捆绑蕴含破绽修复的 Log4j2 2.15.0 版本。

技术支持

如果您对该破绽中 Apache Pulsar 相干事项有任何问题或疑虑,欢送在 Apache Pulsar GitHub 仓库提 issue,或者在 Pulsar 技术交换群中与社区交换。

关注 公众号「Apache Pulsar」,获取干货与动静

退出 Apache Pulsar 中文交换群 👇🏻

正文完
 0