Drools业务规则管理是否受到CVE的影响-2021-44228
我们正在使用口水作为我们的业务规则。Drools是否受到CVE-2021-44228(Log4Shell或Log4J/Apache/Java漏洞)的影响/暴露
共有2个答案
看来情况并非如此。在此线程中,您可以找到所有受影响的应用程序:https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
几年前,整个KIE生态系统(Kogito、Drools、OptaPlanner和jBPM)都迁移到了SLF4J,这是一个不同的日志外观,默认实现为Logback,因此CVE-2021-44228不会对其造成攻击。因此,我们的建议是确保您的应用程序更新到最新的社区版本(在撰写本文时,Drools、jBPM、KIE Workbench/Business Central和KIE Server 7.62.0.Final、Kogito 1.14.1.Final、Optaplanner 8.14.0.Final)。
从这篇博文。
我们邀请您继续监控博客文章,以防将来有任何进一步的发现。
-
是否存在CVE-2022-21449可能导致黑客/滥用的情况? 我在spring security和java的github repo上展示了这一点。安全性被广泛使用,但我不知道库中的使用如何导致安全缺陷。
-
CVE-2022-22963-Spring云函数漏洞是最近发现的,团队在这里提供了一个简单的修复程序:cve-report-发布-for-spring-cloud-函数 我们通过以下依赖项(我们的spring.boot.version是2.2.6)从spring cloud stream:3.0.4获取spring cloud函数上下文:3.0.6: spring cloud services启动
-
我想在不同的规则流中使用一些drools规则。由于Drools规则一次只支持一个规则流组名称,并且规则流业务规则任务也可以映射到单个规则流组,所以我无法在不同的规则流中使用相同的规则。有没有其他方法可以用来过滤规则?比如使用标记或元数据?
-
我是Drools Fusion的新手,我想知道为什么我的规则不总是被取消。我用的是Drools 6.3。以下是我要插入的事件: 这是我的规则文件: 这是我的输出: 我预计我的规则将触发2次,并给出以下输出: 我可能忽略了一些事情,但我没有找到关于我的问题的太多信息。有人能解释一下这里到底发生了什么吗?非常感谢。
-
在drool引擎中,如何在THEN部分中将新对象作为响应填充?我希望用另一个专用对象返回答案,而不是LiabilityRequestDto。谢谢你的帮助
-
我们有一个IPlanet Web服务器,它通过非SSL(HTTP)端口与WebLogic(应用服务器)通信。我们在WebLogic中没有使用HTTPS,Web服务器和应用程序服务器位于防火墙后面。weblog服务器实例上安装了证书,但我们不使用HTTPS端口。IPlanet web服务器运行在HTTPS端口和负载平衡器后面。 LB to(HTTPSWebServer to(HTTP)Weblogi