Ari*_*iel 6
这是 JFrog 的正式回答。免责声明,我在 JFrog 工作
2021 年 12 月 10 日,在多个版本的 Apache Log4j 2 实用程序上暴露了一个 RCE(远程代码执行)漏洞。
受影响的代码存在于 log4j 核心库中:log4j-core-*.jar,版本 2.0 到 2.14.1。
经过 JFrog 安全和研发团队的内部研究和验证,我们可以确认 JFrog 服务不受此漏洞 (CVE-2021-44228) 的影响。首先,我们验证了 JFrog 服务未配置为实现 log4j-core 包。此外,我们可以确认 JFrog 服务(例如 Artifactory)中使用的 JDK 版本包含针对通过 JNDI 对象进行远程类加载的默认保护。因此,JFrog 客户无需针对 JFrog 解决方案的此问题采取任何行动。
JFrog Security 和 Xray 产品团队已使用有关此漏洞的 CVE 信息更新了 Xray 数据库,这些信息将可供 Xray 客户使用,以帮助跨客户组合进行检测和修复。
JFrog 已检查并验证以下产品均未引用易受攻击的库:
Artifactory 6.x 和 7.x,以及随附的 Aess 服务
X射线 分配 任务控制 见解
来源:一般:JFrog 服务不受漏洞 CVE-2021-44228 的影响
“我们可以确认 Artifactory 中使用的 JDK 版本包含针对通过 JNDI 对象进行远程类加载的默认保护”;有一些关于此的误导性信息。最新的 Java 版本很可能仍然容易受到 RCE 的攻击(参见 [ment](github./apache/logging-log4j2/pull/608#issuement-991396409));此外还有其他攻击面,例如 [凭据提取](github./apache/logging-log4j2/pull/608#issuement-991354707)。虽然如果你不使用 log4j-core,那么这对你来说并不重要。 (2认同) @TheNail JFrog 在“JFrog 产品是否易受攻击?”中发表声明。最近这篇博文的部分:jfrog./blog/log4shell-0-day-vulnerability-all-you-need-to-know/ (2认同)更多推荐
何为,Artifactory,log4j
发布评论