Log4Shell (Apache log4j2中的RCE漏洞)
2021年12月
在常用的第三方日志框架Apache Log4j中发现了一些关键的漏洞。这些漏洞被描述和命名为cve - 2021 - 44228,cve - 2021 - 45046,cve - 2021 - 44832而且cve - 2021 - 45105通常被称为Log4Shell.
这些漏洞的主要后果是,如果恶意用户有可能在受影响环境的系统日志中引入自定义文本或数据,那么该用户可能发送任何任意代码,这些代码将在软件的服务器端远程执行,这将允许该恶意用户访问、更改或破坏服务。
有关漏洞及其补救建议的进一步技术细节,请参阅Apache Log4j网站.
这对您的RapidMiner部署有何影响
RapidMiner Studio和RapidMiner AI Hub核心组件不受这些漏洞的影响。唯一可能利用此漏洞的组件是RapidMiner Radoop(提供与Hadoop系统集成的扩展)和Radoop代理(代理组件在Hadoop集群中运行,以简化Hadoop和集群之间的通信)。
尽管这种可能性非常小,但理论上有一种可能性,即使不使用Radoop扩展,只是加载,漏洞仍然存在。
在RapidMiner,我们立即为这两个Radoop组件开发并发布了补丁。
我们强烈鼓励所有在其环境中使用Radoop的用户遵循下面描述的程序,以防止此漏洞。
如何补救这一漏洞
更新:最近发现的两个漏洞(cve - 2021 - 44832而且cve - 2021 - 45105)没有提供攻击面,因为利用它所需的脆弱类和配置在我们的软件中没有使用。
当在RapidMiner Studio中使用Radoop时
只需启动Studio,然后转到扩展->市场(更新和扩展)….
请确保将Radoop更新到打过补丁的版本(version9.10.2及以上版本,除非您使用的是Studio版本9.7或更早的版本,在这种情况下请查找Radoop9.7.2版本).
我们建议更新Radoop,即使它已经安装但没有使用。
在AI Hub中使用Radoop时
要修复该漏洞,您需要更新到补丁版本的Radoop扩展。
你需要下载一个不同版本的Radoop扩展基于版本的RapidMiner AI Hub你正在使用:
要更新您的Radoop扩展,请遵循以下步骤:
- 下载扩展
- 复制扩展到持久的RapidMiner主文件夹在你的AI Hub部署(覆盖rmx_rad.jar目前存在的建议)
- 重新启动RapidMiner Server组件,以确保扩展同步到AI Hub部署中的所有作业代理。如果不需要重新启动,可以触发集中资源管理功能通过我们的api
当使用Radoop Proxy(独立)时
如果您没有使用推荐的(基于docker容器的)Radoop Proxy部署,并且它是在网络的边缘节点上作为独立服务运行的,那么您需要首先这样做下载补丁版本.
要更新您的独立Radoop Proxy:
- 解压下载的ZIP文件
- 从以前安装的Radoop Proxy版本迁移配置
- 停止在您的机器上运行的旧版本的Radoop Proxy
- 启动新版本
更多详情请参阅我们的详细介绍独立的Radoop代理安装的文档页.
