【发布时间】:2022-01-18 19:00:21
【问题描述】:
log4j 的漏洞已公开。
在其他软件包中,我使用 R shiny 和 h2o 软件包。
我已经发现,shiny 不受漏洞影响,因为它使用了log4js(请参阅https://github.com/log4js-node/log4js-node/issues/1105),这是 Javascript 中的一个实现。
现在我们来到h2o。我知道这个包为 Java 中的h2o-framework 提供了一个 API。在从 github 的源代码构建h2o 的文档中(参见https://h2o-release.s3.amazonaws.com/h2o/rel-noether/4/docs-website/developuser/quickstart_git.html),我发现沿线
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/mapr2.1.3/hadoop-0.20.2-dev-core.jar"
-d classes/mapr2.1.3 src/main/java/water/hadoop/*.java
warning: [options] bootstrap class path not set in conjunction with -source 1.6
1 warning
jar cf target/h2odriver_mapr2.1.3.jar -C classes/mapr2.1.3 .
make build_inner HADOOP_VERSION=cdh3
mkdir classes/cdh3
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/cdh3/hadoop-core-0.20.2-cdh3u6.jar" -d
classes/cdh3 src/main/java/water/hadoop/*.java
warning: [options] bootstrap class path not set in conjunction with -source 1.6
1 warning
jar cf target/h2odriver_cdh3.jar -C classes/cdh3 .
make build_inner HADOOP_VERSION=cdh4
mkdir classes/cdh4
javac -source 1.6 -target 1.6 -sourcepath src/main/java -classpath
"../lib/log4j/log4j-1.2.15.jar:../target/h2o.jar:../lib/hadoop/cdh4/hadoop-common.jar:../
似乎h2o 正在使用log4j,但我对Java 及其依赖项了解不多。
有更多知识的人可以澄清h2o-package 是否受到log4j 漏洞的影响?如果是这样,如何解决或解决这个问题?
非常感谢您。
【问题讨论】:
-
针对 CVE-2021-45105,H2O.ai 产品升级为使用 log4j 版本 2.17.0。更多细节在安全公告h2o.ai/security/bulletins/h2o-2021-001