Jfrog建议将log4j升级到2.15作为永久性修复。我可以用最新的log4j-api.jar文件替换吗?或者Jfrog是否发布了最新的补丁?如何完全修复此问题?此问题的最佳修复方法是将您的log4j依赖项升级到版本2.15.0,这将在多个层面上解决此问题,并提高log4j的整体安全性。作为额外的保护层,我们还建议全局设置LOG4J_FORMAT_MSG_NO_LOOKUPS环境变量(参见下一节)。
taor4pac1#
@Syed JFrog产品未使用log4j-core包,因此不受此漏洞影响,我们可以确认JFrog服务不受CVE-2021-44228影响。JFrog Security已验证JFrog平台解决方案本身不受影响,因为没有任何产品,包括使用log4j-core包的Artifactory版本6.x或7.x。CVE-2021-44228仅影响Artifactory中未使用的“log4j-core”。log4j-over-slf 4j、log4j-api和log4j-to-slf 4j等其他包不受影响。因此,用户无需执行任何操作即可升级此库。
1条答案
按热度按时间taor4pac1#
@Syed JFrog产品未使用log4j-core包,因此不受此漏洞影响,我们可以确认JFrog服务不受CVE-2021-44228影响。
JFrog Security已验证JFrog平台解决方案本身不受影响,因为没有任何产品,包括使用log4j-core包的Artifactory版本6.x或7.x。CVE-2021-44228仅影响Artifactory中未使用的“log4j-core”。log4j-over-slf 4j、log4j-api和log4j-to-slf 4j等其他包不受影响。
因此,用户无需执行任何操作即可升级此库。