flink-connector-mysql-cdc 1.3因为log4j-api引起的漏洞 CVE-2021-44228

[Hwangmingzhao]

log4j 2.15.0及之前版本存在严重安全漏洞，成功利用这个漏洞可以导致执行任意代码。经终端安全攻防团队研判后，认定该漏洞影响范围极广，漏洞危害极大。有安全厂商攻防团队已经成功复现此漏洞。

官方已提供解决方案，可通过升级log4j至最新2.16.0版本解决。

依赖路径：
log4j-slf4j-impl 2.12.1 -> log4j-api 2.12.1

[GOODBOY008]

log4j 2.15.0及之前版本存在严重安全漏洞，成功利用这个漏洞可以导致执行任意代码。经终端安全攻防团队研判后，认定该漏洞影响范围极广，漏洞危害极大。有安全厂商攻防团队已经成功复现此漏洞。

官方已提供解决方案，可通过升级log4j至最新2.16.0版本解决。

依赖路径： log4j-slf4j-impl 2.12.1 -> log4j-api 2.12.1

Fixed in #714

[leonardBang]

@Hwangmingzhao Thanks for your report.
Firstly, Flink CDC project doesn't package log4j2 dependency which won't be influenced by log4shell vulnerability,
and we also bump the log4j2 version in #714.

[dota17]

Log4j的 CVE漏洞 CVE-2021-45105 什么时候修复？这也是一个严重漏洞
期望升级到log4j 2.17.1并发新版本解决

[leonardBang]

Log4j的 CVE漏洞 CVE-2021-45105 什么时候修复？这也是一个严重漏洞 期望升级到log4j 2.17.1并发新版本解决

Flink CDC 不会打包log4j, 理论上并不存在该问题