没有不使用log4j 2.x版本(受CVE-221-44228漏洞影响)的apache storm版本。
我在log4j网站上找到了这个修复程序:< br> 您可以从类路径中删除**JndiLookup**类:zip -q -d log4j-core-*。jar org/Apache/logging/log4j/core/lookup/jndilookup . class
但我不确定这样做是否会对我的 apache Storm功能产生任何其他影响,如果 Storm 内部使用 JndiLookup 类怎么办。
对于 log4j 漏洞 (CVE-2021-44228),我可以对Storm安装(Storm 2.2.0)应用哪些修复程序?
2022年3月发布的Storm 2.4.0解决了您的担忧。
或者,您可以使用Java类加载机制的原则手动修补它:
>
以这种方式识别和下载官方补丁(及其依赖项):https://mvnrepository.com/artifact/org.apache.logging.log4j
为方便起见,直接链接:
替换 apache-storm-2.2.0/lib 中的库:
log4j-core-2.11.2.jar --> log4j-core-2.17.2.jar
log4j-api-2.11.2.jar --> log4j-api-2.17.2.jar
log4j-slf4j-impl-2.11.2.jar --> log4j-slf4j-impl-2.17.2.jar
验证升级成功:
nimbus.log 文件是否已正确生成nimbus.log不会生成