由于新的Log4j漏洞,Apache HTTP Server是否允许反向外壳?

jjhzyzn0  于 2022-11-06  发布在  Apache
关注(0)|答案(1)|浏览(129)

我在Centos 8机器上安装了Apache HTTP服务器,我想知道它是否使用Log4j库,因为发现了危害Web上许多服务器的新漏洞。如果是,解决的过程是什么?根据我的分析,我可以从存储库中看到(svn.apache.org/repos/asf/httpd/httpd/)使用的语言是C,XML,所以我想它不会使用Log4j来跟踪日志,而是投射那些与活动模块相关的日志。谢谢。

k0pti3hp

k0pti3hp1#

不,Apache httpdApache log4j除了都是由Apache基金会发布的之外,没有任何共同之处。

  • Apache log4j由用Java编写的软件使用。
  • Apache httpd不是用Java编写的。
  • Apache httpd使用Apache log4j。
  • Apache httpd受CVE-2021-44228的约束。

请注意,Apache httpd示例 * 可以 * 用作使用Java和log4j的http服务器前面的反向代理,但这就像说路由器是易受攻击的,因为在它后面的某个地方有一个服务器。
您也可以在使用log4j的机器上运行其他软件,但这不会直接是Apache httpd
这里有很多混乱,因为很多人只称Apache httpdApache(出于历史原因),但Apache是发布Apache httpdApache log4j(以及其他几十个项目)的基金会。

相关问题