Log4j 1.x Compatibility API 是否存在安全漏洞?

【问题标题】:Does Log4j 1.x Compatibility API have security vulnerabilities?Log4j 1.x Compatibility API 是否存在安全漏洞?
【发布时间】:2022-01-17 12:57:50
【问题描述】:

我有一个旧项目,其中包含一些在运行时 Log4j 1 类中使用的 jar,我无法升级那些已弃用的 jar 或升级到 Log4j2,因为已弃用的库是为使用 Log4j1 而构建的。根据 Apache 网站,版本 1 不支持:

请注意,Log4j 1.x 已结束生命周期,不再受支持。 2015 年 8 月之后报告的针对 Log4j 1.x 的漏洞没有经过检查,也不会修复。用户应升级到 Log4j 2 以获得安全修复。

我想保护这个应用程序免受安全风险。

所以我想知道我是否使用了最新的Apache Log4j 1.x Compatibility API 以及最新的Apache Log4j API 和最新的Apache Log4j Core

这会保护我的应用程序吗?还是最新的 Apache Log4j 1.x Compatibility API 仍然存在安全问题?

【问题讨论】:

  • 现在可能有点明显,但为了读者的利益,这是没有维护您的软件以使用处于安全维护状态的版本的结果。您应该计划迁移到版本 2(但如果可以,也可以在短期内以更简单的方式修复它)。

标签: java logging log4j log4j2


【解决方案1】:

如果您说的是 CVE-2021-44228,那么是的,它不会影响 log4j 的 1.2.x 版本。

【讨论】:

    【解决方案2】:

    Log4j 1.x Compatibility API (log4j-1.2-api.jar)不受任何 Log4j 1.x 的安全漏洞的影响。

    但是,如果您使用 Log4j 2.x Core 作为 Log4j 2.x API 的后端,则会受到 Log4j 2.x Core 漏洞的影响。最后一个已知的版本已在 2.17.0 版本中修复,在您提出问题几天后发布。

    【讨论】:

      【解决方案3】:

      log4j 版本 1 中不存在该问题。*

      【讨论】:

      • 2015 年 8 月之后报告的针对 Log4j 1.x 的漏洞未经检查且不会修复。用户应升级到 Log4j 2 以获得安全修复。
      • 我说的是版本 1 中的一般安全风险
      猜你喜欢
      • 1970-01-01
      • 2022-01-21
      • 2022-01-23
      • 2022-01-15
      • 1970-01-01
      • 2011-04-09
      • 2022-01-16
      • 2021-08-24
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode