TL,DR: 开云体育官方注册网址Debezium不受最近披露的log4j2远程代码执行漏洞的影响(cve - 2021 - 44228);在Debezium的容器映像中提供的log4j-1.2.17.j开云体育官方注册网址ar包含一个类JMSAppender
,该系统有中度漏洞(cve - 2021 - 4104).默认情况下不使用此appender,即需要访问log4j的配置才能利用此CVE。为了谨慎起见,我们决定移除JMSAppender
从1.7.2版本开始,开云体育官方注册网址Debezium的容器映像中创建类。最终版本,今天发布。
12月10日,广泛使用的log4j2库中存在远程代码执行漏洞(cve - 2021 - 44228).开云体育官方注册网址Debezium,就像Apache Kafka和Kafka Connect一样,不使用log4j2,因此不受这个CVE的影响。
Apache Kafka, Kafka Connect和Apache ZooKeeper使用log4j 1。X,因此,它是作为开云体育官方注册网址Debezium的容器图像对于这些组件。12月13日,log4j中出现了一个中度漏洞。X已出版(cve - 2021 - 4104),影响JMSAppender
类随log4j 1.x而来。此漏洞“允许远程攻击者在服务器上执行代码,如果已部署的应用程序配置为使用JMSAppender
以及攻击者的JMS Broker”。
默认情况下不使用此追加器。“此缺陷仅影响专门配置为使用的应用程序JMSAppender
,这不是默认的,或者当攻击者对Log4j配置有写入访问权限时JMSAppender
攻击者的JMS Broker”。如果你正在使用JMSAppender
,您应该验证并确保您正在为其使用可信任的配置值TopicBindingName
而且TopicConnectionFactoryBindingName
设置。
使用基于jms的追加器应该很少出现在Apache Kafka上下文中,如果有的话。为了谨慎起见,我们决定移除JMSAppender
类的log4j-1.2.17.jarJAR包含在Debezium的Ap开云体育官方注册网址ache Kafka、Kafka Connect和Apache ZooKeeper的容器映像中。与此同时,我们也在去除SocketServer
类的log4j-1.2.17.jar,这是由另一个无关的CVE (cve - 2019 - 17571).这是一个单独的主类,不被Debezium、Kafka、Kafka Connect或ZooKeeper以任何方开云体育官方注册网址式使用,但我们决定不再发布它,从而使Debezium容器映像也不受这个CVE的约束。
注意,如果您通过Apache Kafka的其他发行版和相关组件运行开云体育官方注册网址Debezium连接器,则需要使用JMSAppender
而且SocketServer
类可能出现在它们的log4j-1.2.17.jar,因此你应该确保要么根本不使用它们,要么只以安全的方式使用它们。应该以适当的方式保护对log4j配置的访问。
Debezium的其他发行版,如单独的连接器存档开云体育官方注册网址,或Debezium服务器发行版,不包含log4j-1.2.17.jar因此,在任何方面都不受上述cve的约束。
移除JMSAppender
而且SocketServer
类的log4j-1.2.17.jar与Debezium的容器图开云体育官方注册网址像一起发布的是Debezium 1.7.2生效的。最终版,今天早些时候发布。我们建议所有用户更新到此版本。
关于Debe开云体育官方注册网址zium
开云体育官方注册网址Debezium是一个开源的分布式平台,它将现有数据库转换为事件流,因此应用程序几乎可以立即看到并响应数据库中提交的每一个行级更改。开云体育电动老虎机开云体育官方注册网址Debezium是建立在卡夫卡并提供卡夫卡连接监控特定数据库管理系统的兼容连接器。开云体育电动老虎机开云体育官方注册网址Debezium在Kafka日志中记录了数据更改的历史,所以你的应用程序可以在任何时候停止和重新启动,并且可以很容易地使用它没有运行时错过的所有事件,确保所有事件都被正确和完整地处理。开云体育官方注册网址Debezium是开源下Apache许可证,版本2.0.
参与
我们希望您觉得Debezium有趣开云体育官方注册网址且有用,并愿意尝试一下。在Twitter上关注我们@开云体育官方注册网址debezium,在Zulip上和我们聊天,或加入我们的邮件列表与社区对话。所有的代码都是开源的GitHub上,因此在本地构建代码并帮助我们改进现有连接器并添加更多连接器。如果您发现了问题或对我们如何改进Debezium有想法,请告诉我们开云体育官方注册网址记录问题.