log4j安全违规漏洞是否影响log4net?
我最近在Log4J中读到了关于0天问题的文章。我使用了一些应用程序,这些应用程序是用。NET的日志库,它使用基于Log4j的log4net日志库。
log4net是否存在与log4j的CVE-2021-44228漏洞类似的安全漏洞?
共有3个答案
不,它特定于Log4j-core。请看,https://nvd.nist.gov/vuln/detail/CVE-2021-44228
显然,它必须使用JNDI和JVM。如果他们不使用这些端口,端口是干净的。
https://security.stackexchange.com/questions/257873/does-cve-2021-44228-impact-log4j-ports
https://www.cvedetails.com/cve-details.php?t=1
和
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228
请注意以下事项:
请注意,此漏洞特定于log4j core,不会影响log4net、log4cxx或其他Apache日志服务项目。
不,Log4Net很好。
-
是否存在一种“内部安全应用程序”场景,其中由于早期的Log4J版本,软件比没有它时更容易受到攻击? 我在下面概述了这个问题的一些细节。 我正在做一些工作来减轻最近Log4J漏洞的风险。我知道有一些方法涉及从组织的所有计算机、服务器、远程桌面等中删除早期Log4J jar文件的所有痕迹,在完成之前,组织被视为“处于危险之中”。然而,我也想知道如此大规模的全面努力支出是否相称[编辑22-12月21日1
-
据我所知,Logback是由相同的作者编写的。我们的应用程序正在使用Logback。是否有可能Logback也会受到Log4j中漏洞的影响?这对我们的组织至关重要。
-
据我所知,logback也是由相同的作者编写的。我们的应用程序正在使用logback。是否有可能logback也会受到log4j中漏洞的影响?这对我们的组织至关重要。
-
目前Log4j日志框架中存在漏洞。但是在我们的项目中,我们没有直接使用log4j依赖。我们通过org.apache.common.使用log4j......所以问题是它是否会受到影响。
-
正如我们在新闻中看到的,针对流行的库报告了一个新的零日漏洞,该漏洞允许攻击者远程执行代码。在我们的应用程序中,我们仍然使用以下依赖项。 是否仅针对报告该问题?或适用于版本是否也是?是否有测试该漏洞的示例代码?
-
如何检测SonarQube LTS 8.2版本中的log4j漏洞。 我尝试了这个社区参考,但是找不到8.2版本的。 https://community.sonarsource.com/t/sonarqube-sonarcloud-and-the-log4j-vulnerability/54721