最近发现了一个严重的 log4j 漏洞。
我想升级当前 Solr 实例使用的 log4j,所以我检查了这里。log4j.properties但是,我在“/server/resources/”文件夹中没有看到文件。我所看到的只是:
这些文件都不包含版本。因此,要升级,下载最新版本的 log4j 并覆盖文件夹“\solr-8.10.1\server\lib\ext”中的现有 jar 是否安全,或者建议的升级步骤是什么?
man*_*uti 10
The link you're pointing to is for an older version of Solr (6.6 instead of 8.10.1). The correct version is https://solr.apache.org/guide/8_10/configuring-logging.html where it mentions using log4j 2.
The file log4j2.xml (and even `log4j.properties for that matter) configure the logging itself, not the version of log4j. So updating that file is irrelevant.
Here's what the project page recommends:
2021-12-10, Apache Solr affected by Apache Log4J CVE-2021-44228
...
Description: Apache Solr releases prior to 8.11.1 were using a bundled version of the Apache Log4J library vulnerable to RCE. For full impact and additional detail consult the Log4J security page.
...
缓解措施:以下任何一项都足以防止 Solr 服务器出现此漏洞:
- 升级到 Solr 8.11.1 或更高版本(如果可用),其中将包括 log4j2 依赖项的更新版本。
- 手动更新运行时类路径上的 log4j2 版本并重新启动 Solr 应用程序。
- (Linux/MacOS) 编辑 solr.in.sh 文件以包含:SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"
- (Windows) 编辑 solr.in.cmd 文件以包含: set SOLR_OPTS=%SOLR_OPTS% -Dlog4j2.formatMsgNoLookups=true
- 遵循https://logging.apache.org/log4j/2.x/security.html中列出的任何其他缓解措施
您提出的建议(覆盖文件夹“\solr-8.10.1\server\lib\ext”中的现有 jars)似乎是第二种方法,因此它应该可以正常工作。只需确保这是包含 log4j 依赖项的正确位置即可。
| 归档时间: |
|
| 查看次数: |
14723 次 |
| 最近记录: |