【发布时间】:2021-12-13 05:15:06
【问题描述】:
上下文: 我们使用 com.microsoft.azure:applicationinsights-logging-log4j1_2 的 2.6.3 版本来检测我们的 Scala 代码。不幸的是,这取决于 log4j:log4j 的 1.2.17 版本。 log4j 1.2.17 版本:log4j 存在严重安全漏洞(参考:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571) 问题是:“Log4j 1.2 中包含一个 SocketServer 类,在监听不受信任的网络流量以获取日志时,当与反序列化小工具结合使用时,该类容易受到不受信任的数据反序列化的攻击,从而可以远程执行任意代码数据。这会影响从 1.2 到 1.2.17 的 Log4j 版本
解决办法是迁移到org.apache.logging.log4j:log4j-core 题: 1.) Application insight jar 是否使用 SocketServer 类? 2.) 这是一个已知的漏洞吗? 3.) 我们有哪些选择来获得使用最新版本 org.apache.logging.log4j:log4j-core 的新版本 com.microsoft.azure:applicationinsights-logging-log4j1_2
非常感谢任何帮助。
【问题讨论】:
标签: log4j azure-application-insights telemetry ilogger