Geoserver - 用 2.15.0 替换 log4j 1.2.17？

Question

我的网络服务器上有一个地理服务器，它使用 log4j v 1.2.17 (log4j-1.2.17.jar)。

我已经从 the log4j download site 下载了最新（安全？）版本 (2.15.0) 并校验和下载。

我现在对应该尝试使用哪个.jar 感到困惑？

我网站上的版本名为log4j-1.2.17.jar，但下载中的.jars 都称为例如log4j-web-2.15.0.jar

geoserver 的 Web 服务器是 jetty，如果这有什么不同的话。

怎么办？

Answer 1

在从 log4j v1（GeoServer 使用的那个）和 log4j v2（具有最新 CVE 的那个）切换时，日志记录的方式发生了重大变化。虽然 GeoServer 不受问题中提到的 RCE 漏洞的影响，但使用我们使用的旧（和 EOL）版本仍然存在一些小风险。

因此，作为临时缓解措施，Andrea Aime 对当前的 log4j v1 主干进行了分叉，删除了可能被有权访问您的 GeoServer 计算机的攻击者滥用的网络元素。请参阅https://github.com/aaime/log4j 了解您需要克隆和构建的树。这将生成一个名为 log4j-1.2.17-norce.jar 的新 jar，您应该将其替换为 log4j-1.2.17.jar。您现在可以从 https://repo.osgeo.org/repository/geotools-releases/log4j/log4j/1.2.17/log4j-1.2.17-norce.jar 下载预构建的 jar

如果您使用 GeoServer，那么您可能希望为开发人员做出贡献（或通过 OSGEO foundation），以帮助支持减少项目技术债务所涉及的工作，例如更新日志库。

Answer 2

有一种方法可以停用 log4j 日志记录：

https://docs.geoserver.org/stable/en/user/configuration/logging.html

[更新] https://osgeo-org.atlassian.net/browse/GEOS-10333

Answer 3

出于同样的原因，我自己一直在研究这个问题，据我所知，您需要根据以下内容使用 log4j-1.2-api-2.15.0.jar：

也许转换为使用 Log4j 2 的最简单方法是将 log4j 1.x jar 文件替换为 Log4j 2 的 log4j-1.2-api.jar。

source

我想指出，这不应该是公认的答案，但我想为那些试图掌握情况的人提供一个答案。

[编辑]

看来log4j-1.2-api-2.15.0.jar 是不够的。它有助于将 Geoserver 迁移到较新的 log4j 版本，同时仍使用以前的主包，但它无法引用较新的版本。因此，我还将 log4j-api-2.15.0.jar 添加到混合中以完成路径。

在此之后，它似乎再次工作并且版本已更新。 我可以通过专门使用 Geoserver (/geoserver/rest/about/manifest.xml) 的 api 来验证这一点。如果您在升级之前搜索 log4j，您将看到 1.2.17 和之后的 2.15。