一個漏洞log4j被公之于眾。在其他包中,我使用的是 Rshiny和h2o包。我已經發現,這shiny不受漏洞影響,因為它使用log4js(參見https://github.com/log4js-node/log4js-node/issues/1105),這是 Javascript 中的一個實作。
現在我們來h2o。我知道這個包為h2oJava 中的-framework提供了一個 API 。在h2o從 github 的源代碼構建的檔案中(參見https://h2o-release.s3.amazonaws.com/h2o/rel-noether/4/docs-website/developuser/quickstart_git.html),我發現了
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/mapr2.1.3/hadoop-0.20.2-dev-core.jar"
-d classes/mapr2.1.3 src/main/java/water/hadoop/*.java
warning: [options] bootstrap class path not set in conjunction with -source 1.6
1 warning
jar cf target/h2odriver_mapr2.1.3.jar -C classes/mapr2.1.3 .
make build_inner HADOOP_VERSION=cdh3
mkdir classes/cdh3
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/cdh3/hadoop-core-0.20.2-cdh3u6.jar" -d
classes/cdh3 src/main/java/water/hadoop/*.java
warning: [options] bootstrap class path not set in conjunction with -source 1.6
1 warning
jar cf target/h2odriver_cdh3.jar -C classes/cdh3 .
make build_inner HADOOP_VERSION=cdh4
mkdir classes/cdh4
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/cdh4/hadoop-common.jar:../
似乎h2o正在使用log4j,但我對 Java 及其依賴項了解不多。
有沒有更懂的人能搞清楚 -package 是否h2o受log4j漏洞影響?如果是這樣,如何解決或解決此問題?
非常感謝您提前。
uj5u.com熱心網友回復:
jar 檔案只是一個不同名稱的壓縮檔案夾。您可以瀏覽您的包裹以查找此資訊。
H2Os 官方宣告,包括受影響的版本和建議:https ://www.h2o.ai/security/bulletins/h2o-2021-001/
uj5u.com熱心網友回復:
如https://logging.apache.org/log4j/2.x/security.html所述,Log4J 1.x 版本不受此漏洞影響。似乎h2o正在使用,log4j-1.2.15.jar所以你沒事。
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/397665.html
下一篇:使用時區PHP轉換時間