问当log4j有一个大错误时，如何在Kettle8.3中更改它？

EN

正如其他人说过的，水壶使用的log4j版本不容易受到这种利用，但它仍然容易受到旧的攻击。

FYI -在公共github上有一个活跃的log4j2分支，最终会有一个升级，所以你不需要自己做所有的事情。https://github.com/pentaho/pentaho-kettle/tree/log4j2

这是一个繁琐的任务，但这是有可能的。您需要将所有log4j maven依赖项替换为log4j2，然后重构导入log4j的每个类。不幸的是，有重命名的方法和类，所以您需要做很多更改。

如果我是你，我会跟随log4j2的github分支，要么等待它被合并，要么从它开始采摘。如果您不熟悉Git或Java，只需等待宾得发布此更新即可。

在我工作的地方，我们和日立(五旬节的创建者)讨论了这样一个事实，即五旬节依赖于log4j 1.x，而log4j 1.x自2015年起就已经结束了生命，而log4j 1.x已经知道了一些无法修复的漏洞。

日立已经表示，他们将升级8.3和9.2EnterpriseEdition，以便在2/28/22之前拥有log2j 2.17+。他们将在计划于2022年5月底发布的下一个主要版本中更新宾得社区9.x。但是，请注意，它们不会修复社区中的8.x版本(任何时候)，因此它们将保留在log4j 1.x上。

所以，如果你使用五旬节社区，他们将在5月份为9.2提供一个修复程序，但你不太走运，因为五旬节社区8.2/8.3。

然而，我们已经成功地使用了log4j2桥，分别在五旬斋8.2和8.3 (它也可能与宾得9.x)。log4j2桥提供了一个额外的jar，它保留了log4j 1接口，但幕后调用了log4j2。在最好的情况下，它是对log4j 1.x的替代。但是，在log4j 2.17.1和更低的版本(RenderMap和LogLog类没有发现异常)中，这个桥不起作用。

但是，log4j 2.17.2-快照确实工作(我必须从当前的log4j源编译它)，因为缺少的类现在在桥中。这是怎么做的。

用log4j-1.2.17.jar

• With桥替换以下log4j 1.x jar: log4j-core-2.17.2-SNAPSHOT.jar

：log4j-api-2.17.2-SNAPSHOT.jar，log4j-1.2-api-2.17.2-SNAPSHOT.jar (桥jar)，log4j-core-2.17.2-SNAPSHOT.jar

log4j2桥连接..。

通用信息：https://logging.apache.org/log4j/log4j-2.2/log4j-1.2-api/index.html

• Directions用于使用log4j桥：https://logging.apache.org/log4j/2.x/manual/migration.html