組み込みSolrもlog4j2の脆弱性の影響を受けますか?
コピーリンク
トピック作成者:ks-solruserml-bot (2024/06/14 22:34 投稿)
1
Close
(The bot translated the original post https://lists.apache.org/thread/6pk7o6gk4opmrwkm4jg8s73njt0ly0hp into Japanese and reposted it under Apache License 2.0. The copyright of posted content is held by the original poster.)
組み込みSolrもlog4j2の脆弱性の影響を受けますか?もしそうであれば、Tomcatで組み込みSolrサーバーを -Dlog4j2.formatMsgNoLookups=true オプションを付けて起動することで、この問題を緩和できますか?
現在のSolrバージョンは8.8.2です。
よろしくお願いします。
Clemens
返信投稿者:ks-solruserml-bot (2024/06/14 22:34 投稿)
こんにちは、
組み込みSolrを使用するアプリケーションでログ記録にlog4jを使用し、ユーザーが入力したクエリを組み込みSolrに渡している場合は、はい、脆弱性の影響を受けます。また、(組み込み)Solrを実行するJVMでそのプロパティを設定することは役立つでしょう。もしアプリケーションが別のログフレームワークを使用し、Solrのログがslf4jを通じて例えばLogbackにブリッジされている場合は、脆弱性の影響を受けないかもしれません。log4j-coreのjarファイルを探してください。アプリケーションに脆弱なlog4j-core jarがある場合は、直接log4jをアップグレードしてください。
Jan
トピックへ返信するには、ログインが必要です。