内容纲要
概要描述
截止目前,Apache Log4j2 已经披露的漏洞包括如下:
| 漏洞编号 | 影响版本 |
|---|---|
| CVE-2021-44228 | log4j2 <= 2.14.1 |
| CVE-2021-45046 | log4j2 <= 2.15.0 |
| CVE-2021-45105 | log4j2 <= 2.16.0 |
对于目前已发布的 Aquila 版本(<= 1.7),所有版本均受到不同程度影响
Aquila 受影响的角色包括:aquila-server/heimdal(同一个镜像),aquila-agent,conan-adapter/conan-cep(同一个镜像),tdh-exporter,search-aquila
本次修复中,会将 log4j2 统一升级至 log4j-2.17.0
详细说明
下载工具包
下载链接:Aquila log4j2 漏洞自动 patch 工具
同时下载链接里的两个文件
将压缩包上传至 TOS Registry 节点服务器任意路径,需要 root 用户
TOS Registry 节点可以参考下图地方查看
对比工具 md5 值是否正确
执行命令 md5sum patchlog4j-aquila-tdh_V3.tar.gz
输出的 md5 值和链接里下载的 txt 文件里的 md5 值一致则表示文件没有损坏,否则需要重新获取
解压文件并对比 Aquila 版本
解压命令参考:tar -zxvf patchlog4j-aquila-tdh_V3.tar.gz
查看解压后的目录 ./patchlog4j/aquila/tdh-exporter 里是否存在对应版本的 jar 包,如果没有,需要先 联系我们 确认
查看版本参考命令:
kubectl describe po $(kubectl get po -o wide | grep tdh-exporter | head -1 | awk '{print $1}') | grep "Image:"执行命令对 Aquila 服务角色进行 patch
执行命令:bash ./patchlog4j/patchlog4j.sh aquila
重启 Aquila 服务
上述脚本成功执行后,需要到 manager 页面重启 Aquila 服务来使 patch 生效
其他信息
执行命令进行 patch 前,建议先阅读 ./patchlog4j/README.md 里的说明