我在多个 Linux 服务器上安装了 apache-geode-1.15.1。不幸的是,由于以下文件夹中存在文件 commons-text-1.9.jar,因此存在与 Apache Commons Text4Shell 相关的安全漏洞 CVE-2022-42889。
从此链接 [1] 中,缓解措施是升级到 Apache Commons Text 1.10.0。我过去曾升级过受影响的 jar 文件,但它们被删除,并且新文件夹 0.0.0.0_7070_pulse_xxxxxxxxx 下不断出现一组新的 commons-text-1.9.jar 文件。
[1] https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
如有任何帮助,我们将不胜感激。谢谢!
问题的答案似乎就在 Apache Geode 安装程序本身中。
在文件夹
在等待 Apache Geode 正式发布时,作为临时解决方法,我将文件 commons-text-1.9.jar 替换为 commons-text-1.10.0.jar,更新了 geode-pulse-1.15.1 下的 MANIFEST 文件.war/META-INF,并创建了一个新的 geode-pulse-1.15.1.war 文件,包括更新的文件。
编辑后,commons-text-1.9.jar 文件不再出现。