dble中如何避免log4j2漏洞？

[PanternBao]

Apache Log4j2
安全漏洞说明：https://nosec.org/home/detail/4917.html

dble中如何修复此漏洞？
注意：截止至北京时间2021年12月14日11时，log4j官方已经发布2.16.0版本，相关release notes

[PanternBao]

dble中使用的版本是2.13.1版本

1. 建议将log4j版本升级至最新版本2.17.1
2. 下面介绍的2，3步骤是临时缓解步骤，不排除有其他问题

1. 升级 log4j2 组件

适用dble版本

2.19.07.x - 3.21.10.x版本，2.19.07.x之前的版本需要自行尝试替换方案，官方不再提供支持

影响

需要重启dble

步骤

1.1 关闭dble

/path/to/dble/bin/dble stop

1.2 将dble服务器上log4j的jar包进行备份并mv至/tmp/目录下
/path/to/dble/lib 下有四个jar包分别是：（操作前需要确认一下）

• log4j-1.2-api-2.13.1.jar
• log4j-api-2.13.1.jar
• log4j-core-2.13.1.jar
• log4j-slf4j-impl-2.13.1.jar

执行下面的操作：

mv log4j-1.2-api-2.13.1.jar log4j-1.2-api-2.13.1.jar.bak
mv log4j-1.2-api-2.13.1.jar.bak /tmp/

1.3 将log4j 2.17.1 版本的相关jar包，上传到该路径下/path/to/dble/lib，并变更权限
参考链接：https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.17.1/ ，其他jar在此网站上查找
1.4 重复1.2，1.3步骤升级其余三个jar包
1.5 启动dble

/path/to/dble/bin/dble start

另外官方的99/lts版本对log4j的依赖近期也会升到此版本。

2. 添加配置

适用dble版本

理论上全版本适配，如有问题，联系官方

影响

需要重启dble

步骤

在dble配置文件/path/to/dble/conf 下添加配置文件 log4j2.component.properties
添加如下配置：

log4j2.formatMsgNoLookups=True

3. 修改 jvm 参数

适用dble版本

适用于dble版本 < 3.20.07.0
3.20.07.0及之后的dble版本由于对 JVM 参数进行了限制，因此不支持此种方式，会在近期修复。

影响

需要重启dble

步骤

在dble配置文件/path/to/dble/conf/wrapper.cof 中添加如下配置，并重启dble。
配置：

确认原环境中是否存在 wrapper.java.additional 的参数，下面配置中的14在原环境中按需替换
wrapper.java.additional.14=-Dlog4j2.formatMsgNoLookups=true

4. 设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置 为 true

不推荐