【发布时间】:2022-01-15 10:48:19
【问题描述】:
相信大家都知道log4j的情况,有没有为JFrog更换/升级log4j模块的说明?
谢谢,
【问题讨论】:
标签: artifactory jfrog
【发布时间】:2022-01-15 10:48:19
【问题描述】:
这是 JFrog 的正式回答。 免责声明,我在 JFrog 工作
2021 年 12 月 10 日,多个版本的 Apache Log4j 2 实用程序暴露了一个 RCE(远程代码执行)漏洞。
受影响的代码存在于 log4j 核心库中:log4j-core-*.jar,版本 2.0 到 2.14.1。
经过 JFrog 安全和研发团队的内部研究和验证,我们可以确认 JFrog 服务不受此漏洞 (CVE-2021-44228) 的影响。首先,我们验证了 JFrog 服务未配置为实现 log4j-core 包。此外,我们可以确认 JFrog 服务中使用的 JDK 版本(例如 Artifactory)包含针对通过 JNDI 对象进行远程类加载的默认保护。因此,对于 JFrog 解决方案,JFrog 客户无需针对此问题采取任何行动。
JFrog 安全和 Xray 产品团队已使用有关此漏洞的 CVE 信息更新了 Xray 数据库,这些信息将可供 Xray 客户使用,以帮助检测和修复整个客户组合。
JFrog 已检查并验证以下产品均未引用易受攻击的库:
Artifactory 6.x 和 7.x,以及随附的 Access 服务
- X 射线
- 分布
- 任务控制
- 见解
来源:GENERAL: JFrog Services Are Not Affected by Vulnerability CVE-2021-44228
【讨论】:
-
"我们可以确认 Artifactory 中使用的 JDK 版本包含对通过 JNDI 对象进行远程类加载的默认保护";对此有一些误导性的信息。最新的 Java 版本很可能仍然容易受到 RCE 的攻击(请参阅comment);此外还有其他攻击面,例如credentials extraction。虽然如果你不使用 log4j-core,那么这对你来说并不重要。
-
你有这个声明的官方网站链接吗?
-
@TheNail JFrog 在“JFrog 产品是否易受攻击?”中发表声明最近这篇博文的部分:jfrog.com/blog/…