WildFly是否受到log4j 2漏洞CVE-2021-44228的影响?
我们在生产中使用野蝇10和16,对于某些版本的log4j,存在一个零天漏洞CVE-2021-44228。
如何确保所有代码和库都没有使用有此问题的log4j库?
我不使用任何log4j属性文件,也不自己添加依赖项。
任何帮助都将不胜感激!
回答 2
Stack Overflow用户
发布于 2021-12-13 09:38:52
受影响的版本:所有log4j核心版本>=2.0-beta9和<=2.14.1
WildFly使用通过其Log4j-jboss日志管理器模块进行阴影处理的log4j。甚至是最新的1.2.2版本的依赖于log4j 1.2.17。
这意味着WildFly <22绝对不受影响。
还有一个Log4j2-,但是只有WildFly 22+有它。以及as 这位医生解释道:
这将是log4j2 API的一个实现。不支持log4j2的核心日志管理器。 不支持任何org.apache.logging.log4j:log4j核心API的使用或实现。换句话说,不支持log4j2日志管理器实现,包括配置文件。
您可以看到当前最新的1.0.0.Final发行版根本不依赖log4j-core,只依赖log4j-api。。
因此,WildFly版本的>=22也不会受到影响。
官方推文证实了这一点。
但是WFCORE-5743如何提高log4j核心版本呢?看下面这张纸:
<!-- This is a test only dependency -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>${version.org.apache.logging.log4j}</version>
<scope>test</scope>
</dependency>它不与WildFly捆绑,只在WildFly的构建中用于测试。
Stack Overflow用户
发布于 2021-12-10 23:18:34
修正在WildFly核心18.0.0中,包括在WildFly 26.0.0中。最后:
https://issues.redhat.com/browse/WFCORE-5743
https://issues.redhat.com/browse/WFLY-15807
如果在生产中需要使用WildFly 10或16,则应该使用JBoss EAP:
https://stackoverflow.com/questions/70310513
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号