由于 log4j 漏洞,我需要修補無法立即更新的 elasticsearch 5.6.16 實體。
泊塢窗影像使用:
- /usr/share/elasticsearch/lib/log4j-core-2.11.1.jar
- /usr/share/elasticsearch/log4j-core-2.11.1.jar
elasticsearch 5.6.16 可以與 log4j-core-2.16 一起使用嗎?
這是用可以在這里找到的核心 jar 替換兩者的正確方法https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.16.0/嗎?
uj5u.com熱心網友回復:
根據官方安全公告,如果您在 5.6.16 上運行,則無需升級 Log4J 只需設定以下 JVM 選項
-Dlog4j2.formatMsgNoLookups=true
作為額外的緩解措施,您還可以JndiLookup使用以下方法從 log4j JAR 中洗掉該類:
zip -q -d <ES_HOME>/lib/log4j-core-2.* org/apache/logging/log4j/core/lookup/JndiLookup.class
uj5u.com熱心網友回復:
我們正在使用 Elastic Search 7.1.1 并成功升級到 2.16 log4j 版本。確保交換 Core 和 Api jar 并重新啟動服務器。它會起作用。如果您嘗試洗掉 JNDIlookup 類,它會失敗。
我們在所有車道上都做到了,它的作業和穩定
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/383816.html