WSO2IS和CVE-2021-44228

Question

WSO2IS是否受到CVE-2021-44228的影响？

如果是的话，我们是否可以更新https://docs.wso2.com/display/Security/2021+Advisories (哪些版本受到影响，以及推荐的补救措施是什么)？

Answer 1

1. 确保在承载产品的服务器上安装了"zip“和"unzip”命令。
2. 选项1:导航到product文件夹并运行以下命令：

curl https://raw.githubusercontent.com/wso2/security-tools/master/internal/update-scripts/CVE-2021-44228-mitigation.sh | bash

选项2:或者从https://raw.githubusercontent.com/wso2/security-tools/master/internal/update-scripts/CVE-2021-44228-mitigation.sh下载脚本，将脚本复制到product，然后使用以下命令从product运行脚本：

bash CVE-2021-44228-mitigation.sh

Answer 2

这只适用于WSO2 Identity Server 5.9.0及以上版本。WSO2对此发表了一项公开声明。

https://docs.wso2.com/pages/viewpage.action?pageId=180948677

Answer 3

使用一些wso2库进一步使用log4j2内核的插件/扩展如何？例如: org.wso2.carbon:org.wso2.carbon.utils:jar:4.6.1将pax日志记录作为依赖项，最终具有log4j 2.12.1作为提供的依赖项。

[INFO] +- org.wso2.carbon:org.wso2.carbon.utils:jar:4.6.1:compile
[INFO] |  +- org.wso2.orbit.org.bouncycastle:bcprov-jdk15on:jar:1.60.0.wso2v1:compile
[INFO] |  |  \- org.bouncycastle:bcprov-jdk15on:jar:1.60:compile
[INFO] |  +- org.wso2.carbon:org.wso2.carbon.user.api:jar:4.6.1:compile
[INFO] |  |  \- (org.wso2.carbon:org.wso2.carbon.base:jar:4.6.1:compile - omitted for duplicate)
[INFO] |  +- org.wso2.carbon:org.wso2.carbon.bootstrap:jar:4.6.1:compile
[INFO] |  |  +- (org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile - omitted for duplicate)
[INFO] |  |  \- wrapper:wrapper:jar:3.2.3:compile
[INFO] |  +- org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile
[INFO] |  |  +- org.osgi:osgi.core:jar:6.0.0:compile
[INFO] |  |  \- org.osgi:osgi.cmpn:jar:6.0.0:compile
[INFO] |  +- **org.ops4j.pax.logging:pax-logging-log4j2:jar:1.11.3:compile**
[INFO] |  |  +- (org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile - omitted for duplicate)
[INFO] |  |  +- (org.osgi:osgi.core:jar:6.0.0:compile - omitted for duplicate)
[INFO] |  |  \- (org.osgi:osgi.cmpn:jar:6.0.0:compile - omitted for duplicate)

这与wso2的版本无关。