Jetty 9.4.43是否受到Log4j2漏洞的影响: CVE-2021-44228或CVE-2021-45046或CVE-2021-45105?
我们在应用程序中使用jetty9.4.43。默认情况下不使用日志记录模块。
有谁能确认9.4.43号码头是否对CVE-2021-44228有任何影响?
回答 1
Stack Overflow用户
发布于 2021-12-13 15:06:42
更新:2021年12月18日
有一个新的Log4j CVE刚刚发布。https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45105
现在推荐的最低Log4j版本是2.17.0。
更新:2021年12月13日
有一个新的Log4J CVE发布。https://access.redhat.com/security/cve/cve-2021-45046
现在推荐的最低Log4j版本是2.16.0
原始文本
也包括在https://webtide.com/jetty-log4j2-exploit-cve-2021-44228/
Jetty不直接依赖于log4j。
Jetty9.x使用它自己的日志框架StdErrLog,并对slf4j提供可选的支持。
作为Jetty的使用者,您可以选择使用slf4j,然后选择下一步,在该slf4j配置中使用log4j。
因此,虽然在Jetty9.x上使用log4j 1.x或2.x是可能的,但这是用户选择做出的决定,由用户来决定他们想要做什么。(例如:升级到log4j 2.16.0以满足最近的两个CVEs,或者切换到另一个日志记录框架,如logback)
等待Jetty的新版本并不需要解决这个CVE问题。
还请注意,log4j2 CVE不会影响Java11.0.2或更高版本的用户,因为内部的com.sun.jndi.ldap.object.trustURLCodebase属性在默认情况下从Java11.0.2开始设置为false,这将禁止从任意的com.sun.jndi.ldap.object.trustURLCodebase代码库加载类。( Java 8上的用户比Java 11.0.2或更高版本的用户工作量更大)
Eclipse报告
所有经验证的Eclipse安全报告都可以在.
Github追踪和发表的咨询意见可以在.
https://github.com/eclipse/jetty.project/security/advisories?state=published
https://stackoverflow.com/questions/70336625
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号