min*_*rus 8 logging log4j jetty geoserver
我的网络服务器上有一个使用log4jv 1.2.17 ( log4j-1.2.17.jar) 的地理服务器。
我已经从log4j 下载站点下载了最新(安全?)版本(2.15.0)并对下载进行了校验。
我现在很困惑.jar我应该尝试使用哪个?
我网站上的版本叫做log4j-1.2.17.jar,但是.jar下载中的 s 都被称为例如log4j-web-2.15.0.jar
地理服务器的网络服务器是jetty如果这有什么区别的话。
该怎么办?
Ian*_*ton 12
从 log4j v1(GeoServer 使用的版本)到 log4j v2(具有最新 CVE 的版本)的切换中,日志记录的完成方式发生了重大变化。虽然 GeoServer 不受问题中提到的 RCE 漏洞的影响,但使用我们使用的旧(和 EOL)版本仍然存在一些小风险。
因此,作为临时缓解措施,Andrea Aime 对当前的 log4j v1 主干进行了分叉,删除了可能被有权访问您的 GeoServer 计算机的攻击者滥用的网络元素。请参阅https://github.com/aaime/log4j了解您需要克隆和构建的树。这将生成一个名为log4j-1.2.17-norce.jar您应该替换的新 jar log4j-1.2.17.jar。您现在可以从https://repo.osgeo.org/repository/geotools-releases/log4j/log4j/1.2.17/log4j-1.2.17-norce.jar下载预构建的 jar
如果您使用 GeoServer,那么您可能希望为开发人员(或通过OSGEO 基金会)做出贡献,以帮助支持减少项目技术债务(例如更新日志库)所涉及的工作。