关于 log4j2 安全漏洞的说明

695a5c2a-11a8-4aab-b4f2-d87368e8678f.png

就近期出现的 Apache log4j2 安全漏洞[1],建议 Apache Doris 用户采取以下方式处理和规避。


方案1:修改 FE 、Broker 进程的 JVM 启动参数


  • FE:

    在 conf/fe.conf 的 JAVA_OPTS 中添加:

    -Dlog4j2.formatMsgNoLookups=true


  • Broker:

    在 bin/start_broker.sh 的 JAVA_OPTS 中添加:

    -Dlog4j2.formatMsgNoLookups=true


    之后,重启相关进程即可。该方案无需升级Doris,可作为临时修复方案。


方案2:升级 log4j 版本至 2.15.0


    请参考以下 PR 修改对应的 log4j 版本依赖,然后重新编译部署相关组件(FE、BROKER、plugins)。


https://github.com/apache/incubator-doris/pull/7364/files








[1] https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

本文分享自微信公众号 - ApacheDoris(gh_80d448709a68)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ApacheDoris

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值