Điểm:0

Làm cách nào để thay thế/cập nhật Apache Log4j 1.2.x bằng 2.17?

lá cờ us

Trình quét lỗ hổng của tôi gần đây đã gắn cờ một bản cài đặt Apache Log4j không được hỗ trợ trong phiên bản MS SQL mà chúng tôi mới triển khai gần đây (SQL 2019). Nó gây ra hai phát hiện ưu tiên cao mà tôi phải giải quyết. Cụ thể, có vẻ như tệp log4j-1.2.17.jar có liên quan.

Rõ ràng là có sẵn phiên bản 2.17.1 tại đây: https://logging.Apache.org/log4j/2.x/download.html

Thật không may, tôi không biết làm thế nào để sử dụng nó. Không có trình cài đặt, chỉ là một loạt các tệp. Cùng một trang web có một phần các bài viết dường như hướng đến cách các nhà phát triển có thể sử dụng Apache2 (có vẻ như bộ sưu tập tệp này thực sự là gì) nhưng tôi không phải là nhà phát triển, chỉ là người quản lý hệ thống. Tôi nghi ngờ đây không chỉ là thao tác kéo và thả, vì tôi chắc chắn rằng tệp được gắn cờ sẽ được ứng dụng gọi bằng cách nào đó.

Thật không may, ngoài việc không phải là nhà phát triển, tôi không hiểu sâu về cách thức hoạt động thực sự của MS SQL 2019, vì vậy tôi không biết điều gì sẽ xảy ra nếu tôi chỉ đổi tệp đó bằng một tệp mới theo cách thủ công (và không có ứng cử viên rõ ràng cho điều đó dù sao đi nữa).

Có hướng dẫn nào về cách di chuyển giữa các phiên bản Apache cho các ứng dụng cài đặt một phiên bản nhất định để sử dụng riêng không?

lá cờ jp
https://docs.microsoft.com/en-us/answers/questions/662469/log4j-vulnerability-concerns.html
lá cờ us
Cảm ơn bạn; Tôi đã tìm kiếm Technet nhưng không có manh mối trước đó. Đối với tôi, dường như giải pháp thực sự duy nhất là xóa tệp vi phạm cụ thể. Xóa nó theo cách thủ công dường như là cách duy nhất để đạt được điều này. Tôi đã thử điều này và nó dường như giảm thiểu những phát hiện được đề cập và dường như không ảnh hưởng đến tầng ứng dụng phía trên cơ sở dữ liệu này. Sẽ theo dõi, tuy nhiên.
Điểm:1
lá cờ in

Nếu bạn không có mã nguồn của dự án và chỉ muốn sửa các lỗ hổng log4j 1.x, bạn có thể sử dụng tải lại4j dự định. Nó cho phép thay thế tập tin log4j-1.2.17.jar bởi tệp jar reload4j mà không có thay đổi nào khác.

Dự án reload4j là một nhánh của Apache log4j phiên bản 1.2.17 nhằm khắc phục hầu hết các sự cố bảo mật cấp bách. Nó được thiết kế để thay thế cho log4j phiên bản 1.2.17. Bằng cách thả vào, chúng tôi muốn nói đến việc thay thế log4j.jar bằng reload4j.jar trong bản dựng của bạn mà không cần thực hiện các thay đổi đối với mã nguồn, tức là đối với các tệp java của bạn.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.