是否有r包受当前log4j / CVE-2021-44228安全问题的影响？

Question

RStudio已经确认表示它不受当前log4j / CVE-2021-44228安全问题的影响。但是，我还不清楚是否会有任何带有log4j依赖的r包。我最感兴趣的是tidyverse包和其他广泛使用的包，比如xlsx包。

下面是讨论了如何检测已安装的r包是否具有Java依赖关系。

Answer 1

可能不是。

唯一会预先受影响的包是依赖- directly或间接- on组件的包，因为log4j漏洞本身只影响使用log4j pacakge的log4j代码。

Bob扫描CRAN和将结果张贴在R devel邮件列表上上托管的包中的潜在漏洞

我用- https://github.com/mergebase/log4j-detector扫描了所有的CRAN -(直接查找log4j v2 jar )，这都是很好的… 受此漏洞影响的任何R环境的概率都非常小(几乎没有)，而且--如果工具是准确的--它是0。

Answer 2

您还可以在任何安装位置使用以下脚本进行验证：

find . -name '*.jar' | grep -i 'log4j-' | xargs grep 'JndiLookup'

在识别了受影响的jars之后，可以使用以下脚本进行更正：

find . -name 'log4j-core-2.[0-9].*jar' | while read dir;do zip -q -d $dir org/apache/logging/log4j/core/lookup/JndiLookup.class; echo $dir ; done