如何解决JBoss 7.x下应用的log4j 2 CVE(CVE-2021-44228)问题

apeeds0o  于 2022-11-06  发布在  其他
关注(0)|答案(1)|浏览(220)

我在将JBoss 7.1环境中运行的一些应用程序从log4j移植到log4j 2时遇到了一些问题。
我已经将我的软件移植到了log4j 2(2.17.1),但这还不够。我理解JBoss配置的改变--不是那么简单--是需要的,以使应用程序正确运行并将日志数据写入正确的日志文件。
你有什么提示可以帮助我吗?
根据我在the Redhat portal [仅限客户访问]上看到的内容,我想知道是否需要前端应用程序的端口。
由于使用JBoss Logging框架而不是Log4J,目前没有JBoss EAP 6.x/7.x版本易受CVE-2021-44228攻击。请参阅安全公告- RHSB-2021-009,了解有关此漏洞和受影响Red Hat产品的更多信息。[...] EAP 7.x的日志管理器在log4j JMSAppender代码中进行移植,因此同样受CVE-但在进一步审查此漏洞时,我们已确定只有当攻击者拥有Log4j配置的写入权限以向攻击者的JMS Broker添加JMSAppender时,才可将此漏洞视为真正的漏洞。

zbwhf8kr

zbwhf8kr1#

JBoss EAP 7.1不容易受到此CVE的攻击或影响。此版本的JBoss EAP不包含log4j 2。JBoss EAP 7.4包含log4j-api,但不包含log4j-core,因此也不容易受到攻击。
简而言之,JBoss EAP不容易受到攻击,并且其配置中没有任何需要更改的内容。

相关问题