哪个版本的 Kafka 受到 Log4j CVE

sam*_*cde 25

2021-12-15 更新

APACHE KAFKA 安全漏洞已确认：

CVE-2021-45046

用户不应受到此漏洞的影响

CVE-2021-44228

用户不应受到此漏洞的影响

CVE-2021-4104

Log4J 1.x 版可以配置为使用 JMS Appender，它将日志事件发布到 JMS 主题。如果部署的应用程序配置为使用 JMSAppender，Log4j 1.x 很容易受到攻击。

所以请查看网站了解详情。

2021-12-13 更新

正如 bovine 所建议的，log4j1.x 也可能受到此漏洞的影响。

严格来说，使用 Log4j 1.x 的应用程序如果配置使用 JNDI 可能会受到影响。但是，风险要低得多。

请参阅此链接了解最新状态。

不使用 log4j2 的证据

通过检查dependencies.gradleKafka：
1.0.0 和3.0.0 都使用 1.2.17。
由于该问题影响版本从 2.0-beta9 到 2.14.1，因此 Kafka 不受此安全漏洞的影响。

该漏洞还 [影响 log4j 1.x 的所有版本](github./apache/logging-log4j2/pull/608#issuement-990494126)；但是，它已停产，并且具有其他无法修复的安全漏洞。（引用：“log4j 1.x 包含一个可以使用 JNDI 的 JMS Appender。所以我想说，是的，log4j 1.x 也受到此漏洞的影响”） (5认同)