如何检查 Databricks 集群是否存在 Log4J 漏洞?
How to check Databricks cluster for Log4J vulnerability?
我正在使用带有 Scala 2.12 的 Databricks 集群版本 7.3 LTS。此版本确实使用了 Log4J。
official docs 说它使用 Log4J 版本 1.2.17。这是否意味着我没有此漏洞?如果我这样做,我可以在集群上手动修补它还是需要将集群升级到下一个 LTS 版本?
正如您所写,大多数 Databricks 集群使用 1.2.17,因此它是不同的版本,Databricks 未使用受漏洞影响的版本。
只有一个问题是当您在集群上自行安装不同版本时。即使您安装了受影响的版本,您也可以通过在集群高级配置中设置 Spark 配置来缓解问题,如下所示:
spark.driver.extraJavaOptions "-Dlog4j2.formatMsgNoLookups=true"
spark.executor.extraJavaOptions "-Dlog4j2.formatMsgNoLookups=true"
您可以在此处获得完整的端到端更新:https://databricks.com/blog/2021/12/13/log4j2-vulnerability-cve-2021-44228-research-and-assessment.html
我正在使用带有 Scala 2.12 的 Databricks 集群版本 7.3 LTS。此版本确实使用了 Log4J。
official docs 说它使用 Log4J 版本 1.2.17。这是否意味着我没有此漏洞?如果我这样做,我可以在集群上手动修补它还是需要将集群升级到下一个 LTS 版本?
正如您所写,大多数 Databricks 集群使用 1.2.17,因此它是不同的版本,Databricks 未使用受漏洞影响的版本。
只有一个问题是当您在集群上自行安装不同版本时。即使您安装了受影响的版本,您也可以通过在集群高级配置中设置 Spark 配置来缓解问题,如下所示:
spark.driver.extraJavaOptions "-Dlog4j2.formatMsgNoLookups=true"
spark.executor.extraJavaOptions "-Dlog4j2.formatMsgNoLookups=true"
您可以在此处获得完整的端到端更新:https://databricks.com/blog/2021/12/13/log4j2-vulnerability-cve-2021-44228-research-and-assessment.html