就近期出现的 Apache log4j2 安全漏洞[1],建议 Apache Doris 用户采取以下方式处理和规避。
方案1:修改 FE 、Broker 进程的 JVM 启动参数
FE:
在 conf/fe.conf 的 JAVA_OPTS 中添加:
-Dlog4j2.formatMsgNoLookups=true
Broker:
在 bin/start_broker.sh 的 JAVA_OPTS 中添加:
-Dlog4j2.formatMsgNoLookups=true
之后,重启相关进程即可。该方案无需升级Doris,可作为临时修复方案。
方案2:升级 log4j 版本至 2.15.0
请参考以下 PR 修改对应的 log4j 版本依赖,然后重新编译部署相关组件(FE、BROKER、plugins)。
https://github.com/apache/incubator-doris/pull/7364/files
[1] https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
本文分享自微信公众号 - ApacheDoris(gh_80d448709a68)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。