我在log4j 1.2.17上,我们使用(apache-log4j-extras以及-相同版本)。您能告诉我CVE-2021-44228是否会影响此版本吗?谢谢
mwngjboj1#
此处不存在specific vulnerability。请参阅http://slf4j.org/log4shell.html:log4j 1.x是否易受攻击?由于log4j 1.x不提供查找机制,因此不会受到CVE-2021-44228的影响。但是,请注意,log4j 1.x已不再维护。因此,我们强烈建议您迁移到其后续版本之一,如SLF 4J和logback。迁移时不要拖延太久!鉴于log4j 1.x版本仍在广泛部署,我们不断收到关于log4j版本1.x的漏洞的问题。
由于log4j 1.x不提供查找机制,因此不会受到CVE-2021-44228的影响。
话虽如此,log4j 1.x已经不再被维护了。因此,我们强烈建议您尽快迁移到它的后继版本,如SLF 4J/logback。但是,不要等上几个月再迁移!还要注意,有一些工具可以自动化迁移。
4ioopgfo2#
对于log4j的1.x.x版本,仅如果您在log4j配置中使用JMS Appender,则容易受到攻击。Description of the vulnerability and possible mitigations of cve-2021-44228将在此处说明。
s4n0splo3#
如MA所述,由于log4j 1.x不提供查找机制,因此它不受CVE-2021-44228的影响。另请参见https://www.slf4j.org/log4shell.html还应该提到的是,reload4j项目使用log4j 1.x修复了突出的漏洞。
3条答案
按热度按时间mwngjboj1#
此处不存在specific vulnerability。请参阅http://slf4j.org/log4shell.html:
log4j 1.x是否易受攻击?由于log4j 1.x不提供查找机制,因此不会受到CVE-2021-44228的影响。但是,请注意,log4j 1.x已不再维护。因此,我们强烈建议您迁移到其后续版本之一,如SLF 4J和logback。迁移时不要拖延太久!鉴于log4j 1.x版本仍在广泛部署,我们不断收到关于log4j版本1.x的漏洞的问题。
由于log4j 1.x不提供查找机制,因此不会受到CVE-2021-44228的影响。
话虽如此,log4j 1.x已经不再被维护了。因此,我们强烈建议您尽快迁移到它的后继版本,如SLF 4J/logback。但是,不要等上几个月再迁移!还要注意,有一些工具可以自动化迁移。
4ioopgfo2#
对于log4j的1.x.x版本,仅如果您在log4j配置中使用JMS Appender,则容易受到攻击。Description of the vulnerability and possible mitigations of cve-2021-44228将在此处说明。
s4n0splo3#
如MA所述,由于log4j 1.x不提供查找机制,因此它不受CVE-2021-44228的影响。另请参见https://www.slf4j.org/log4shell.html
还应该提到的是,reload4j项目使用log4j 1.x修复了突出的漏洞。