log4j CVE-2021-44228和对数4j 1.2.17

amrnrhlw  于 2022-11-06  发布在  其他
关注(0)|答案(3)|浏览(190)

我在log4j 1.2.17上,我们使用(apache-log4j-extras以及-相同版本)。
您能告诉我CVE-2021-44228是否会影响此版本吗?
谢谢

mwngjboj

mwngjboj1#

此处不存在specific vulnerability。请参阅http://slf4j.org/log4shell.html
log4j 1.x是否易受攻击?由于log4j 1.x不提供查找机制,因此不会受到CVE-2021-44228的影响。但是,请注意,log4j 1.x已不再维护。因此,我们强烈建议您迁移到其后续版本之一,如SLF 4J和logback。迁移时不要拖延太久!鉴于log4j 1.x版本仍在广泛部署,我们不断收到关于log4j版本1.x的漏洞的问题。

由于log4j 1.x不提供查找机制,因此不会受到CVE-2021-44228的影响。

话虽如此,log4j 1.x已经不再被维护了。因此,我们强烈建议您尽快迁移到它的后继版本,如SLF 4J/logback。但是,不要等上几个月再迁移!还要注意,有一些工具可以自动化迁移。

4ioopgfo

4ioopgfo2#

对于log4j的1.x.x版本,如果您在log4j配置中使用JMS Appender,则容易受到攻击。Description of the vulnerability and possible mitigations of cve-2021-44228将在此处说明。

s4n0splo

s4n0splo3#

MA所述,由于log4j 1.x不提供查找机制,因此它受CVE-2021-44228的影响。另请参见https://www.slf4j.org/log4shell.html
还应该提到的是,reload4j项目使用log4j 1.x修复了突出的漏洞。

相关问题