AKX*_*AKX 38
JNDI 功能已添加到 Log4j 2.0-beta9中。
因此,Log4j 1.x 没有易受攻击的代码。
结果 log4j 1 在某些配置中可能容易受到攻击:github./apache/logging-log4j2/pull/608#issuement-990494126 (12认同) 值得指出的是,虽然 Log4j 1.x 并非以同样的方式易受攻击,但此时它已打开多个 CVE(nvd.nist.gov/vuln/detail/CVE-2021-4104,https: //nvd.nist.gov/vuln/detail/CVE-2019-17571) 并且自 2015 年 8 月起停止使用 (blogs.apache./foundation/entry/apache_logging_services_project_announces)。可能值得考虑的是,“如果已经有多个漏洞利用,还能发现什么?” 对于不再接收更新的库。 (6认同)Mic*_*ade 34
虽然不受完全相同的 Log4Shell 问题的影响,但Apache Log4j 团队建议从您的 JAR 文件中删除在CVE-2019-17571JMSAppender
中存在漏洞的and 。SocketServer
您可以使用该zip
命令删除受影响的类。将文件名/版本替换为您的:
zip -d log4j-1.2.16.jar /apache/log4j/net/JMSAppender.class
zip -d log4j-1.2.16.jar /apache/log4j/net/SocketServer.class
您可以使用less和grep浏览 zip 中的文件,例如less log4j-1.2.16.jar | grep JMSAppender
话虽如此,Apache 建议您尽可能升级到 2.x 版本。根据他们的安全页面:
只是提醒一下 - log4j jar 文件仍将驻留在已部署的 war 文件和开发人员 maven 存储库中。因此,应用程序的任何重建和使用这些重新部署都将重新引入这些类。 (2认同)请注意,Log4j 1.x 已结束生命周期,不再受支持。2015 年 8 月之后报告的针对 Log4j 1.x 的漏洞没有经过检查,也不会修复。用户应升级到 Log4j 2 以获得安全修复。
更多推荐
漏洞,Log4j
发布评论