修正了Apache的log4j漏洞(CVE-2021-44228)？

Question

没有不使用CVE-2021-44228漏洞影响的log4j 2.x版本的apache版本。

我在log4j网站上找到了这个修复方法：

you may remove the **JndiLookup** class from the classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

但是，我不确定这样做是否会对我的apache功能产生任何其他影响，如果JndiLookup类在内部被使用了怎么办。

，对于log4j漏洞(CVE-2021-44228)，我可以将什么修复应用于风暴安装(Story2.2.0)？

Answer 1

最近有一个风暴2.4.0释放在2022年3月解决了你的担忧。

或者，您可以使用Java类加载机制的原则手动修补它：

1. 以下列方式标识并下载官方修补程序(及其依赖项)：https://mvnrepository.com/artifact/org.apache.logging.log4j 为方便起见，直接连接：

- [log4j-core-2.17.2.jar](https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.17.2/log4j-core-2.17.2.jar)
- [log4j-api-2.17.2.jar](https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-api/2.17.2/log4j-api-2.17.2.jar)
- [log4j-slf4j-impl-2.17.2.jar](https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-slf4j-impl/2.17.2/log4j-slf4j-impl-2.17.2.jar)

1. 替换apache-storm-2.2.0/lib中的库： log4j-core-2.11.2.jar --> log4j-core-2.17.2.jar log4j-api-2.11.2.jar --> log4j-api-2.17.2.jar log4j-slf4j-impl-2.11.2.jar -> log4j-slf4j-impl-2.17.2.jar
2. 验证升级是否成功：

- Verify ANY/ALL log files are generated properly 
    - Verify that `nimbus.log` file is generated properly
    - Negative test case is to remove the 3 libraries and `nimbus.log` will NOT be generated

- The `nimbus.log` file prints out the 3 updated libraries in `o.a.s.s.o.a.z.ZooKeeper [INFO] Client environment:java.class.path=`