如何在 Jfrog Artifactory 中升级 log4j-api tp 2.17?

【问题标题】:How to upgrade log4j-api tp 2.17 in Jfrog Artifactory?如何在 Jfrog Artifactory 中升级 log4j-api tp 2.17?
【发布时间】:2022-01-21 18:30:28
【问题描述】:

Jfrog 建议将 log4j 升级到 2.15 作为永久修复。我可以用最新的 log4j-api.jar 文件替换吗?或者 Jfrog 是否为此发布了最新补丁?

我怎样才能彻底解决这个问题? 解决此问题的最佳方法是将您的 log4j 依赖项升级到 2.15.0 版本,这在多个层面解决了该问题并提高了 log4j 的整体安全性。

作为额外的保护层,我们还建议全局设置 LOG4J_FORMAT_MSG_NO_LOOKUPS 环境变量(请参阅下一节)。

【问题讨论】:

    标签: artifactory jfrog


    【解决方案1】:

    @Syed JFrog 产品不受此漏洞影响,因为它们没有使用 log4j-core 包。我们可以确认 JFrog 服务不受 CVE-2021-44228 影响。

    JFrog Security 已验证 JFrog 平台解决方案本身不受影响,因为没有产品,包括使用 log4j-core 包的 Artifactory 版本 6.x 或 7.x。 CVE-2021-44228 只影响“log4j-core”,Artifactory 中没有使用它。其他包如 log4j-over-slf4j、log4j-api 和 log4j-to-slf4j 不受影响。

    因此,用户无需执行任何操作即可升级此库。

    【讨论】:

    • 我知道这一点,但我的组织希望每个人都将 log4j 版本更新到 2.17,无论它是否生效。所以我的问题是我可以直接将 log4j-api-2.11.jar 替换为最新的 2.17 并重新启动服务吗?
    猜你喜欢
    • 2022-08-15
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-08-19
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode