Geoserver-将log4j 1.2.17替换为2.15.0? [英] Geoserver - Replacing log4j 1.2.17 with 2.15.0?

查看:40
本文介绍了Geoserver-将log4j 1.2.17替换为2.15.0?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

我的Web服务器上有一个Geoserver,它使用log4jv1.2.17(log4j-1.2.17.jar)。

我已经下载了最新版本(安全?)来自the log4j download site的版本(2.15.0),并对下载进行了校验和。

我现在不知道应该尝试使用哪种.jar

我网站上的版本名为log4j-1.2.17.jar,但下载中的.jar都是类似于log4j-web-2.15.0.jar

的名称

Geoserver的Web服务器是jetty,如果这有什么不同的话。

怎么办?

推荐答案

从log4jv1(Geoserver使用的版本)和log4jv2(具有最新CVE的版本)开始,交换机中的日志记录方式发生了重大变化。虽然Geoserver不会受到问题中提到的RCE漏洞的影响,但在使用我们确实使用的旧(和停产)版本时仍存在一些小风险。

因此,作为临时缓解措施,Andrea Aime对当前的log4jv1干线进行了分叉,删除了可能被访问您的Geoserver计算机的攻击者滥用的网络元素。有关需要克隆和构建的树,请参阅https://github.com/aaime/log4j。这将生成一个名为log4j-1.2.17-norce.jar的新JAR,您应该将log4j-1.2.17.jar替换为。您现在可以从https://repo.osgeo.org/repository/geotools-releases/log4j/log4j/1.2.17/log4j-1.2.17-norce.jar

下载预构建JAR

如果您使用Geoserver,那么您可能希望向开发人员提供帮助(或通过OSGEO foundation)来帮助支持减少项目技术债务所涉及的工作,如更新记录库。

这篇关于Geoserver-将log4j 1.2.17替换为2.15.0?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!

查看全文
登录 关闭
扫码关注1秒登录
发送“验证码”获取 | 15天全站免登陆