gpt4 book ai didi

第三方应用程序(如 apache zookeeper)中的 Log4j 漏洞

转载 作者:行者123 更新时间:2023-12-05 02:35:23 27 4
gpt4 key购买 nike

Apache log4j zookeeper 使用易受 RCE 攻击的 log4j 1.2。为了纠正这个问题,我们计划排除 log4j 1.2 并在依赖项中包含 log4j 2.17.1 core 和 log4j 2.17.1 api

没用。有人可以建议如何从第三方库中排除 jar

错误:收到此错误:线程“main”中的异常 java.lang.NoClassDefFoundError: org/apache/log4j/jmx/HierarchyDynamicMBean在 org.apache.zookeeper.jmx.ManagedUtil.registerLog4jMBeans(ManagedUtil.java:50)在 org.apache.zookeeper.server.ZooKeeperServerMain.initializeAndRun(ZooKeeperServerMain.java:91)在 org.apache.zookeeper.server.ZooKeeperServerMain.main(ZooKeeperServerMain.java:61)在 org.apache.zookeeper.server.quorum.QuorumPeerMain.initializeAndRun(QuorumPeerMain.java:125)在 org.apache.zookeeper.server.quorum.QuorumPeerMain.main(QuorumPeerMain.java:79)引起:java.lang.ClassNotFoundException:org.apache.log4j.jmx.HierarchyDynamicMBean在 java.net.URLClassLoader.findClass(URLClassLoader.

我们试过了..

<dependencies>
<dependency>
<groupId>org.apache.zookeeper</groupId>
<artifactId>zookeeper</artifactId>
<version>3.5.1-alpha</version>
<exclusions>
<exclusion>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.1</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-1.2-api</artifactId>
<version>2.17.1</version>
</dependency>
</dependencies>

最佳答案

Zookeeper 显然试图直接访问 Log4j 1.2 内部类,log4j-1.2-api 中不再存在这些类(参见 source code)。

您可以:

  • 要么将系统属性 zookeeper.jmx.log4j.disable 设置为 true
  • 或升级到较新的版本(例如 3.5.9),这将自动检测是否缺少 HierarchyDynamicMBean 类。

无论如何你都应该升级,因为你使用的 alpha 版本有几个安全漏洞:cf. Maven Repository .

关于第三方应用程序(如 apache zookeeper)中的 Log4j 漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70580123/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com