Kafka是应用程序用来在微服务之间进行通信的软件。Kafka在Jboss服务器上使用log4j 1.x。我们需要能够使用2。Log4jx已于2015年达到生命终止,不再支持。2015年8月以后针对Log4j 1报告的漏洞。X没有被检查,不会被修复。用户应升级到Log4j 2以获得安全修复。
漏洞软件安装:Apache Log4j 1.2.17 (/apps/server/standalone/kafka/kafka_1 .11-0.10.1.0/libs/Log4j -1.2.17.jar)
所有新的Kafka版本也使用Log4j 1.2.17。需要修复这个
JBoss版本为JBoss -eap-6.4
是什么方式?
Log4j2计划在Kafka 4.0 - Kafka -9366之前不会随Kafka一起发布
在此之前,你可以尝试自己直接修改log4j jar来删除易受攻击的类,比如JMSAppender,或者用reload4j替换,因为只有在最近的提交(Kafka 3.1.1 &3.2) - https://github.com/apache/kafka/pull/11743考虑到你的Jboss使用的是几年前的Kafka版本,如果不升级Jboss本身,可能无法直接升级