【发布时间】:2022-01-16 21:59:33
【问题描述】:
我在 log4j 1.2.17 上,我们使用(apache-log4j-extras 以及相同的版本)。
如果 CVE-2021-44228 会影响此版本,您能告诉我吗?
谢谢
【问题讨论】:
-
使用 log4j 1.x,您会受到 CVE-2021-4104 和 CVE-2019-17571 的影响,它们可能具有类似的影响。因此,您可能想要升级。
【发布时间】:2022-01-16 21:59:33
【问题描述】:
specific vulnerability 不存在。见http://slf4j.org/log4shell.html:
log4j 1.x 是否易受攻击? 由于 log4j 1.x 不提供查找机制,因此它不受 CVE-2021-44228 的影响。但是,请注意不再维护 log4j 1.x。因此,我们敦促您迁移到其继任者之一,例如 SLF4J 和 logback。迁移不要耽误太多时间! 鉴于 log4j 1.x 版的部署仍然非常广泛,我们一直收到关于 log4j 1.x 版漏洞的源源不断的问题。
由于 log4j 1.x 不提供查找机制,因此它不会受到 CVE-2021-44228 的影响。
话虽如此,log4j 1.x 不再维护所有必要的安全隐患。因此,我们强烈建议您尽快迁移到其继任者之一,例如 SLF4J/logback。但是不要等待几个月就迁移!另请注意,存在用于自动迁移的工具。
【讨论】:
对于 log4j 的 1.x.x 版本,仅在您的 log4j 配置中使用 JMS Appender 时容易受到攻击。 Description of the vulnerability and possible mitigations of cve-2021-44228 在这里解释。
【讨论】: