2021年11月,阿里向Apache官方报告了Apache Log4j2远程代码执行漏洞,某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。对于我们自己管理的springboot项目,可以通过升级log4j2的版本来解决。但是对于离线CHD集群,升级就很难实现。官方给出的缓解措施是删除相关jar的class文件。
官方修复脚本的github地址https://github.com/cloudera/cloudera-scripts-for-log4j
具体操作- 关闭 Cloudera Management Service
- 关闭大数据集群
- 在各个节点上关闭cloudera-scm-agent
- 关闭cloudera-scm-server
- download官方修复脚本的zip包,在主节点机器解压并执行run_log4j_patcher.sh脚本,并带上参数 cdh:
sh run_log4j_patcher.sh cdh。
如果报zip not found. zip is required to run this script.则需要yum install zip安装下zip命令。 - 重启cloudera-scm-server
- 重启各个节点的cloudera-scm-agnet
- 重启大数据集群
- 重启Cloudera Management Service
