博客讲述了在Flink集群中发现log4j存在的JNDI注入漏洞,尝试通过升级log4j到2.17、添加log4j2.component.properties配置文件以及在flink-conf.yaml中设置参数来修复问题。尽管采取了措施,漏洞依然存在,可能需要进一步排查解决方案。
最近忙着项目的事情,一晃眼,近10个月再没有更新博客了。刚好这两天在搞漏洞修复的事情。记录一下。
项目flink集群服务器中的被扫出了log4j存在JNDI注入缺陷。如下图所示。
漏扫工具提示需要将log4j更新到2.17。
log4j2.17下载地址
下载解压。
在flink服务器中查看只需要用到4个,上传到服务器。上传完以后需要把原有jar包重新命名或者删除。
上传完以后重启flink服务。再进行复扫,结果漏洞还存在。
方法2
增加 配置文件:log4j2.component.properties。配置文件内容:
log4j2.formatMsgNoLookups=true
配置目录放在flink配置文件目录即可,flink_home/conf。如下图所示。
在启动文件中添加新增的配置文件。修改flink_home/bin/ flink-daemon.sh。
log_setting=("-Dlog.file=${log}" "-Dlog4j.configuration=file:${FLINK_CONF_DIR}/log4j.properties" "-Dlog4j.configurationFile=file:${FLINK_CONF_DIR}/log4j.properties" "-Dlogback.configurationFile=file:${FLINK_CONF_DIR}/logback.xml" "-Dlog4j.configuration=file:${FLINK_CONF_DIR}/log4j2.component.properties")
然后重启服务器。
方法三
在flink配置文件flink-conf.yaml 添加 Dlog4j2.formatMsgNoLookups=true.
env.java.opts: -Doracle.jdbc.J2EE13Compliant=true -Dlog4j2.formatMsgNoLookups=true
重启flink。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
