是否有关于更换/升级JFrog的log4j模块的说明?
yhived7q1#
这是JFrog的正式答复。免责声明,我在JFrog工作2021年12月10日,多个版本的Apache Log4j 2实用程序被发现存在RCE(远程代码执行)漏洞。log4j核心库中存在受影响的代码:log4j-core-*.jar,版本从2.0到2.14.1。经过JFrog安全和研发团队的内部研究和验证,我们可以确认JFrog服务不受此漏洞的影响(CVE-2021-44228)。首先,我们验证了JFrog服务未配置为实现log4j-core包。此外,我们可以确认JFrog服务中使用的JDK版本(例如,Artifactory)包含默认保护,防止通过JNDI对象加载远程类。因此,JFrog客户不需要针对JFrog解决方案的此问题采取任何措施。JFrog Security和Xray产品团队已使用有关此漏洞的CVE信息更新了Xray数据库,Xray客户将可以使用此信息来帮助检测和修复客户组合。JFrog已检查并确认以下产品均未引用有漏洞的库:Artifactory 6.x和7.x以及随附的Access服务
来源:GENERAL: JFrog Services Are Not Affected by Vulnerability CVE-2021-44228
1条答案
按热度按时间yhived7q1#
这是JFrog的正式答复。免责声明,我在JFrog工作
2021年12月10日,多个版本的Apache Log4j 2实用程序被发现存在RCE(远程代码执行)漏洞。
log4j核心库中存在受影响的代码:log4j-core-*.jar,版本从2.0到2.14.1。
经过JFrog安全和研发团队的内部研究和验证,我们可以确认JFrog服务不受此漏洞的影响(CVE-2021-44228)。首先,我们验证了JFrog服务未配置为实现log4j-core包。此外,我们可以确认JFrog服务中使用的JDK版本(例如,Artifactory)包含默认保护,防止通过JNDI对象加载远程类。因此,JFrog客户不需要针对JFrog解决方案的此问题采取任何措施。
JFrog Security和Xray产品团队已使用有关此漏洞的CVE信息更新了Xray数据库,Xray客户将可以使用此信息来帮助检测和修复客户组合。
JFrog已检查并确认以下产品均未引用有漏洞的库:
Artifactory 6.x和7.x以及随附的Access服务
来源:GENERAL: JFrog Services Are Not Affected by Vulnerability CVE-2021-44228