【发布时间】:2022-01-16 19:35:13
【问题描述】:
我正在使用带有 Scala 2.12 的 Databricks 集群版本 7.3 LTS。这个版本确实使用了 Log4J。
official docs 说它使用 Log4J 版本1.2.17。这是否意味着我没有这个漏洞?如果我这样做了,我可以在集群上手动修补它还是需要将集群升级到下一个 LTS 版本?
【问题讨论】:
标签: azure log4j databricks
【发布时间】:2022-01-16 19:35:13
【问题描述】:
正如您所写,大多数 Databricks 集群使用 1.2.17,所以它是不同的版本,受漏洞影响的版本不被 Databricks 使用。
只有一个问题是你自己在集群上安装不同的版本。即使您安装了受影响的版本,您也可以通过在集群高级配置中设置 Spark 配置来缓解问题,如下所示:
spark.driver.extraJavaOptions "-Dlog4j2.formatMsgNoLookups=true"
spark.executor.extraJavaOptions "-Dlog4j2.formatMsgNoLookups=true"
【讨论】:
-
不是只有 log4j 2.10+ 才有这个配置吗?
-
它适用于在集群上手动安装 log4j 2 的人
-
databricks 也有关于 CVE-2021-44228 databricks.com/blog/2021/12/13/… 的官方消息,这与答案完全相同,但更详细