我最近读到了关于Log4J中zero-day问题的文章。我使用了一些用.NET编写的应用程序,这些应用程序使用基于Log4j的log4net日志库。log4net是否存在与Log4j的CVE-2021-44228漏洞类似的安全漏洞?
4sup72z81#
请注意,此漏洞是log4j-core特有得,不会影响log 4 net,log 4cxx或其它Apache日志记录服务项目.所以,不,Log 4 Net就很好。
dtcbnfnu2#
显然,它必须使用JNDI和JVM。如果不使用这些端口,则端口是透明的。
wtlkbnrh3#
否,它特定于Log4j-core。请参阅 * CVE-2021-44228 Detail *(NIST)。
jei2mxaa4#
很久以前,当我在编写C程序时,我发现我用来访问数据库的C包只是Java代码的 Package 器。这个安全漏洞存在于Log4j的纯Java核心部分,这一事实并不意味着Log4Net是无缺陷和安全的,它还可能存在其他安全问题。事实上,任何软件都可能有漏洞,而且很可能也有漏洞。这不仅仅是Log4j或Log4net的问题,而是我们迅速接受并信任的任何软件包的问题。
4zcjmb1e5#
log 4 net是否存在与Log4j的CVE-2021-44228漏洞类似的安全漏洞?我不这么认为。如果他们有,那也是巧合。我不认为他们共享密码。
5条答案
按热度按时间4sup72z81#
请注意,此漏洞是log4j-core特有得,不会影响log 4 net,log 4cxx或其它Apache日志记录服务项目.
所以,不,Log 4 Net就很好。
dtcbnfnu2#
显然,它必须使用JNDI和JVM。如果不使用这些端口,则端口是透明的。
wtlkbnrh3#
否,它特定于Log4j-core。请参阅 * CVE-2021-44228 Detail *(NIST)。
jei2mxaa4#
很久以前,当我在编写C程序时,我发现我用来访问数据库的C包只是Java代码的 Package 器。
这个安全漏洞存在于Log4j的纯Java核心部分,这一事实并不意味着Log4Net是无缺陷和安全的,它还可能存在其他安全问题。
事实上,任何软件都可能有漏洞,而且很可能也有漏洞。这不仅仅是Log4j或Log4net的问题,而是我们迅速接受并信任的任何软件包的问题。
4zcjmb1e5#
log 4 net是否存在与Log4j的CVE-2021-44228漏洞类似的安全漏洞?
我不这么认为。如果他们有,那也是巧合。我不认为他们共享密码。