neo4j 3.5是否受到CVE-2021-44228的影响？

Question

我发现只有neo4j > 4.2受到此漏洞的影响(这里和这里 )

但是在neo4j 3.5.21pom中，我看到了对log4j (这里)的依赖：

<dependency>
        <groupId>log4j</groupId>
        <artifactId>log4j</artifactId>
        <version>1.2.17</version>
</dependency>

那么，这个版本现在在生产环境中使用真的安全吗？

Answer 1

log4j版本1.2.17似乎在neo4j 3.5.21中使用，并且该版本不容易受到https://nvd.nist.gov/vuln/detail/CVE-2021-44228攻击，因为该漏洞是在2.10.0版本中引入的。

无论如何，log4j版本的1.2.17都容易受到https://nvd.nist.gov/vuln/detail/CVE-2019-17571的攻击，https://nvd.nist.gov/vuln/detail/CVE-2019-17571的得分为9.8 / 10。这是一个不同的攻击矢量，可能更难利用，但与关键相同，不应用于生产。

您应该以任何方式更新您的neo4j版本。

Answer 2

天空没有塌下来。说清楚，Log4j 1.2.17没有受到ZDV的影响。您是在运行很少使用的网络套接字附录服务器还是JDBC服务器？是Neo4j吗？(我不这么认为。)如果没有，那么就没有理由将软件紧急抛入依赖Log4j 1.x.*的垃圾中。

有一件事是可以肯定的，那就是Log4j2是一个破坏API的变化，这意味着你不能只是把一个新的罐子塞进去，希望它能工作。(包名和配置规范已更改。)如果代码使用日志抽象层(如SLF4J )编写得很好，那就太简单了。但是，如果代码依赖于编程配置设置，就会有痛苦。升级到Log4j2可能是一项非常重要的任务。

*注意到，Log4j 1.x已经离开其支持窗口几年了。另外，Log4j2是对API的完全重写，它的资源消耗较少，锁定更少，速度也更快(多亏了LMAX消毒器)。有理由升级，但不是作为紧急情况。