【发布时间】:2020-06-24 15:57:57
【问题描述】:
WSO2IS 5.8 包括 Log4j 1.2.17
已针对 Log4j 1 识别出一个安全漏洞 CVE-2019-17571。Log4j 包含一个 SocketServer,它接受序列化的日志事件并在不验证对象是否被允许的情况下对其进行反序列化。这可以提供一个可以被利用的攻击向量。
有人知道这个漏洞是否可以在 WSO2IS 5.8 的上下文中被利用?
提前致谢!
【问题讨论】:
【发布时间】:2020-06-24 15:57:57
【问题描述】:
WSO2 在发现问题时会非常频繁地发布安全补丁。请您写信给security@wso2.com并检查一下。
另外 - 作为安全最佳实践,我们建议始终使用 security@wso2.com 报告安全问题 - 这是所有开源项目都遵循的常见做法。
更新:尽管 WSO2 Identity Server 5.8.0 具有这种依赖关系,但它不使用 SocketServer 提供的任何功能。 因此,任何使用 5.8.0 版本的人都不会受到影响。 此外,由于 IS 5.9.0,此依赖项已升级到 Log4j 2。
【讨论】:
-
Prabath,您在哪里找到“更新”信息?可以给我一个链接吗?提前致谢!
-
@Felipe 你可以在这里找到信息docs.wso2.com/display/Security/CVE-2019-17571
-
非常感谢贾纳克!这正是我想要的!