我们正在生产中使用wildfly 10和16,某些版本的log4j存在零日漏洞CVE-2021-44228。我如何确保没有代码和库使用存在该问题的log4j库?我不使用任何log4j属性文件,也不自己添加依赖项。如有任何帮助,我们将不胜感激!
kqhtkvqz1#
The affected log4j versions are:受影响的版本:所有log4j内核版本〉=2.0-beta 9且〈=2.14.1WildFly通过它的log4j-jboss-logmanager模块使用log4j着色。即使是最新的1.2.2.最终版本depends on log4j 1.2.17。这意味着22岁以下的WildFly绝对不受影响。也有log4j2-jboss-logmanager-但只有WildFly 22+有它。这将仅是log4j 2 API的实现。不支持log4j 2的核心日志管理器。将不支持使用任何org.apache.logging.log4j:log4j-core API或实现。换句话说,将不支持log4j 2日志管理器实现,包括配置文件。你可以看到目前最新的1.0.0.Final发布了does not depend on log4j-core at all, only log4j-api.因此,WildFly版本〉=22也不受影响。The official tweet证实了这一点。但是WFCORE-5743提升log4j-core版本的情况如何呢?请查看pom:
<!-- This is a test only dependency --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>${version.org.apache.logging.log4j}</version> <scope>test</scope> </dependency>
它不与WildFly捆绑,仅用于WildFly的测试版本。
kcrjzv8t2#
已在WildFly Core 18.0.0中修复,将包含在WildFly 26.0.0中。最终版:https://issues.redhat.com/browse/WFCORE-5743https://issues.redhat.com/browse/WFLY-15807如果您需要在生产中使用WildFly 10或16,则应改用JBoss EAP:https://access.redhat.com/articles/112673#EAP_7
2条答案
按热度按时间kqhtkvqz1#
The affected log4j versions are:
受影响的版本:所有log4j内核版本〉=2.0-beta 9且〈=2.14.1
WildFly通过它的log4j-jboss-logmanager模块使用log4j着色。即使是最新的1.2.2.最终版本depends on log4j 1.2.17。
这意味着22岁以下的WildFly绝对不受影响。
也有log4j2-jboss-logmanager-但只有WildFly 22+有它。
这将仅是log4j 2 API的实现。不支持log4j 2的核心日志管理器。
将不支持使用任何org.apache.logging.log4j:log4j-core API或实现。换句话说,将不支持log4j 2日志管理器实现,包括配置文件。
你可以看到目前最新的1.0.0.Final发布了does not depend on log4j-core at all, only log4j-api.
因此,WildFly版本〉=22也不受影响。
The official tweet证实了这一点。
但是WFCORE-5743提升log4j-core版本的情况如何呢?请查看pom:
它不与WildFly捆绑,仅用于WildFly的测试版本。
kcrjzv8t2#
已在WildFly Core 18.0.0中修复,将包含在WildFly 26.0.0中。最终版:
https://issues.redhat.com/browse/WFCORE-5743
https://issues.redhat.com/browse/WFLY-15807
如果您需要在生产中使用WildFly 10或16,则应改用JBoss EAP:
https://access.redhat.com/articles/112673#EAP_7