log4j
的一个漏洞被公开。在其他包中,我使用的是R shiny
和h2o
包。我已经发现,shiny
不受该漏洞的影响,因为它使用log4js
(参见https://github.com/log4js-node/log4js-node/issues/1105),这是一个在Javascript中的实现。
现在我们来看看h2o
。我知道这个包为h2o
-Java框架提供了一个API。在从github的源代码构建h2o
的文档中(参见https://h2o-release.s3.amazonaws.com/h2o/rel-noether/4/docs-website/developuser/quickstart_git.html),我发现了沿着内容:
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/mapr2.1.3/hadoop-0.20.2-dev-core.jar"
-d classes/mapr2.1.3 src/main/java/water/hadoop/*.java
warning: [options] bootstrap class path not set in conjunction with -source 1.6
1 warning
jar cf target/h2odriver_mapr2.1.3.jar -C classes/mapr2.1.3 .
make build_inner HADOOP_VERSION=cdh3
mkdir classes/cdh3
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/cdh3/hadoop-core-0.20.2-cdh3u6.jar" -d
classes/cdh3 src/main/java/water/hadoop/*.java
warning: [options] bootstrap class path not set in conjunction with -source 1.6
1 warning
jar cf target/h2odriver_cdh3.jar -C classes/cdh3 .
make build_inner HADOOP_VERSION=cdh4
mkdir classes/cdh4
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/cdh4/hadoop-common.jar:../
看起来h2o
使用的是log4j
,但我对Java及其依赖关系了解不多。
有更多知识的人可以澄清h2o
-package是否受到log4j
漏洞的影响吗?如果是,如何解决或解决这个问题?
非常感谢你提前。
2条答案
按热度按时间cgfeq70w1#
一个jar文件只是一个压缩的文件夹,它有不同的名字。你可以浏览你的包来寻找这个信息。
H2O官方声明,包括受影响的版本和建议:https://www.h2o.ai/security/bulletins/h2o-2021-001/
cuxqih212#
如https://logging.apache.org/log4j/2.x/security.html上所述,Log4J 1.x版本不受此漏洞的影响。而且
h2o
似乎正在使用log4j-1.2.15.jar
,因此您没有问题。