R-Package h2o是否会受到log4j漏洞的影响?(以及如何解决)

hkmswyz6  于 2022-11-06  发布在  其他
关注(0)|答案(2)|浏览(155)

log4j的一个漏洞被公开。在其他包中,我使用的是R shinyh2o包。我已经发现,shiny不受该漏洞的影响,因为它使用log4js(参见https://github.com/log4js-node/log4js-node/issues/1105),这是一个在Javascript中的实现。
现在我们来看看h2o。我知道这个包为h2o-Java框架提供了一个API。在从github的源代码构建h2o的文档中(参见https://h2o-release.s3.amazonaws.com/h2o/rel-noether/4/docs-website/developuser/quickstart_git.html),我发现了沿着内容:

javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/mapr2.1.3/hadoop-0.20.2-dev-core.jar"
-d classes/mapr2.1.3 src/main/java/water/hadoop/*.java
warning: [options] bootstrap class path not set in conjunction with -source 1.6
1 warning
jar cf target/h2odriver_mapr2.1.3.jar -C classes/mapr2.1.3 .
make build_inner HADOOP_VERSION=cdh3
mkdir classes/cdh3
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/cdh3/hadoop-core-0.20.2-cdh3u6.jar" -d
classes/cdh3 src/main/java/water/hadoop/*.java
warning: [options] bootstrap class path not set in conjunction with -source 1.6
1 warning
jar cf target/h2odriver_cdh3.jar -C classes/cdh3 .
make build_inner HADOOP_VERSION=cdh4
mkdir classes/cdh4
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/cdh4/hadoop-common.jar:../

看起来h2o使用的是log4j,但我对Java及其依赖关系了解不多。
有更多知识的人可以澄清h2o-package是否受到log4j漏洞的影响吗?如果是,如何解决或解决这个问题?
非常感谢你提前。

cgfeq70w

cgfeq70w1#

一个jar文件只是一个压缩的文件夹,它有不同的名字。你可以浏览你的包来寻找这个信息。
H2O官方声明,包括受影响的版本和建议:https://www.h2o.ai/security/bulletins/h2o-2021-001/

cuxqih21

cuxqih212#

https://logging.apache.org/log4j/2.x/security.html上所述,Log4J 1.x版本不受此漏洞的影响。而且h2o似乎正在使用log4j-1.2.15.jar,因此您没有问题。

相关问题