我在 log4j 1.2.17 上,我們使用(apache-log4j-extras 以及 - 相同版本)。
如果 CVE-2021-44228 影響這個版本,你能告訴我嗎?
謝謝
uj5u.com熱心網友回復:
在具體的漏洞不存在那里。見http://slf4j.org/log4shell.html:
log4j 1.x 是否易受攻擊?由于 log4j 1.x 不提供查找機制,因此不會受到 CVE-2021-44228 的影響。但是,請注意,不再維護 log4j 1.x。因此,我們敦促您遷移到它的繼任者之一,例如 SLF4J 和 logback。不要耽誤太多時間進行遷移!鑒于 log4j 1.x 版的部署仍然非常廣泛,我們已經收到源源不斷的關于 log4j 1.x 版漏洞的問題。
由于 log4j 1.x 不提供查找機制,因此不會受到 CVE-2021-44228 的影響。
話雖如此,log4j 1.x 不再具有所有相關的安全隱患。因此,我們絕對敦促您盡早遷移到其后繼產品之一,例如 SLF4J/logback。但是不要等待幾個月就遷移!另請注意,存在用于自動遷移的工具。
uj5u.com熱心網友回復:
對于 log4j 的 1.xx 版本,只有在 log4j 配置中使用 JMS Appender時才容易受到攻擊。此處解釋了 cve-2021-44228 的漏洞描述和可能的緩解措施。
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/380454.html