Apache Solr releases prior to 7.4 (i.e. Solr 5, Solr 6, and Solr 7
through 7.3) use Log4J 1.2.17 which may be vulnerable for installations
using non-default logging configurations that include the JMS Appender,
see
https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126
for discussion.
2条答案
按热度按时间zf9nrax11#
来自Apache文档
brvekthn2#
一个好的替代方案是将log4j 1.2.17替换为reload4j,这是log4j jar文件的直接插件替换。它是由一家开发原始log4j项目的公司针对其最近报告的漏洞开发的。您可以在Github project找到更多信息
我知道至少有一个OpenSource项目(Alfresco)正在成功地使用它。