V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tuutoo
V2EX  ›  程序员

Kettle 的 Log4j 被公司扫到安全问题

  •  
  •   tuutoo · 2022-02-22 14:43:06 +08:00 · 2451 次点击
    这是一个创建于 1006 天前的主题,其中的信息可能已经有所发展或是发生改变。

    自己电脑上一直用的 8.2 社区版,这两天公司的安全软件在后台扫电脑文件,扫出来 Kettle 的文件夹里用了有漏洞的文件。 现在我把那几个文件删除后,软件打不开了。

    SourceForge 上的最新 9.2 版本最后修改日期在 Log4j 漏洞爆发日期之前,这版本好像还是有问题的 https://support.pentaho.com/hc/en-us/articles/4416229254541-log4j-1-and-log4j-2-vulnerabilities-found-in-CVE-2021-4104-CVE-2021-44228-CVE-2021-45046-CVE-2021-45105-CVE-2021-44832-CVE-2021-42392-CVE-2022-23302-CVE-2022-23305-and-CVE-2022-23307-

    有谁解决了同样的问题了吗? 顺便问问大家现在有什么好用的开源软件做 ETL 。

    之前的任务就是从 Excel 读数据,然后在两个 SQL Server 间同步数据,然后做成 Windows 任务,发 smtp 邮件。能满足这些东西就可以了。

    11 条回复    2022-02-23 09:48:01 +08:00
    gadfly3173
        1
    gadfly3173  
       2022-02-22 14:53:08 +08:00
    非 kettle 用户,搜了下 这东西是不是改名叫 Pentaho Data Integration 了?好像已经 9.2 版本了
    gadfly3173
        2
    gadfly3173  
       2022-02-22 14:54:12 +08:00   ❤️ 1
    @gadfly3173 #1 github 上最后更新时间是前两天,可以考虑自己打包看看
    Mithril
        3
    Mithril  
       2022-02-22 15:07:13 +08:00   ❤️ 1
    你可以自己把 Jar 包里面的 class 文件删了,除非你司安全软件只扫了个文件名,不然这么改就够了。
    thinkershare
        4
    thinkershare  
       2022-02-22 15:20:20 +08:00   ❤️ 1
    这么简单的任务, 如果会 C#, 直接换 ETLBox, 几下就搞定了
    tuutoo
        5
    tuutoo  
    OP
       2022-02-22 19:24:19 +08:00 via Android
    @Mithril 官网看到的临时解决办法就是这个 需要重新打包 略麻烦 而且像你说的 不知道公司扫描工具用的啥 如果是简单的扫文件名这么改就没什么用
    tuutoo
        6
    tuutoo  
    OP
       2022-02-22 19:45:45 +08:00 via Android
    @gadfly3173 是的,我回头自己打包一下试试
    tuutoo
        7
    tuutoo  
    OP
       2022-02-22 19:52:45 +08:00 via Android
    @thinkershare 看着不错,但好像要收费?
    Jiajin
        8
    Jiajin  
       2022-02-22 20:10:45 +08:00
    python+datax ?
    Mithril
        9
    Mithril  
       2022-02-22 22:23:19 +08:00
    @tuutoo 不需要打包。。就把 jar 当 zip 打开,删除个文件,然后重新压回去完了。嫌麻烦 github 一堆脚本可用。
    你这个任务可以看看微软的 PowerBI 或者 Power Automate
    tuutoo
        10
    tuutoo  
    OP
       2022-02-22 22:57:39 +08:00
    @Mithril 才发现他官网给的命令的意思就是从 jar 里删除特定的 class...这样不用手动一个个弄 那还是挺方便的.
    bthulu
        11
    bthulu  
       2022-02-23 09:48:01 +08:00
    公司安全软件里添加排除文件夹, 把 kettle 的文件夹排除在扫描范围内就行了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2910 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 12:08 · PVG 20:08 · LAX 04:08 · JFK 07:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.