当前位置: 首页 > 知识库问答 >
问题:

com.microsoft.azurelog4j1_2依赖于易受攻击的log4j: log4j: jar: 1.2.17版本

斜淳
2023-03-14

上下文:我们使用2.6.3版本的com.microsoft.azure:应用见解-日志-log4j1_2来检测我们的Scala代码。不幸的是,这依赖于1.2.17版本的log4j: log4j。1.2.17版本的log4j: log4j有一个严重的安全漏洞(参考:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571)问题是:“Log4j 1.2中包含的SocketServer类容易受到不可信数据反序列化的攻击,当与反序列化结合时,该类可被攻击以远程执行任意代码监听日志数据的不可信流量时的小工具。这会影响到1.2到1.2.17的Log4j版本"

解决方案是迁移到org。阿帕奇。登录中。log4j:log4j核心问题:1)Application insight jar是否使用SocketServer类?2.)这是已知的漏洞吗?3.)我们有哪些选项可以获得新版本的com。微软azure:applicationinsights-logging-log4j1_2,使用最新版本的org。阿帕奇。登录中。log4j:log4j内核

非常感谢您的帮助。

共有2个答案

高增
2023-03-14
1) Does Application insight jar use SocketServer class?

根据这个文档,ApplicationInsightsJAR依赖于log4j,它是一个套接字服务器类。所以它使用套接字服务器类。

2) Is this a known Vulnerability?

是的,这是一个已知的漏洞,可能会在将来的版本中解决。

3) What are the options for us to get a new version of com.microsoft.azure:applicationinsights-logging-log4j1_2 that uses latest version of org.apache.logging.log4j:log4j-core

apache log4j core有一个最新版本,即2.14。1.

有关此问题的更多信息,请访问此处的Azure支持。

张浩阔
2023-03-14

SocketServer类是一个TCP服务器,您可以在单独的JVM中运行,以便从应用程序中的SocketAppender接收消息。Log4j库中的任何其他类都不会使用它。

另一方面,log4j1_2是一个非常小的JAR(2个类),它提供了一个允许Log4j 1.2向Application Insights发送日志的Application Insights。

您可以安全地使用这个和所有标准的附加程序(包括SocketAppender),而不会出现CVE-2019-17571中描述的问题。

迁移到log4j2。显然推荐使用x,但原因完全不同:它受支持并提供许多新功能。

工件applicationinsights-logging-log4j2包含一个版本的ApplicationInsightsAppender,可与Log4j 2一起使用。十、

 类似资料:
  • 考虑到log4j2。x正遭受一个主要的远程代码执行漏洞(检查漏洞),我开始查看我的项目依赖性,看看我是否通过slf4j使用Log4J,幸运的是我没有。 但是我通过发现了对Log4J的另一种依赖。包装的最后版本是在11月2021号生产的,所以这个问题在那里没有得到缓解。 我怎样才能摆脱依赖而不摆脱,因为我非常依赖它。

  • Github已经将我的应用锁文件中的依赖项标记为易受攻击。 要修复它,我应该将该包更新到一个较新的版本。 抱歉,如果这是一个非常基本的问题,但我似乎没有找到任何有用的关于这一点。

  • 我正在构建一个专门使用JSON作为请求和响应内容的网络服务(即,没有表单编码的有效载荷)。 如果以下情况属实,web服务是否容易受到CSRF攻击? > 任何没有顶级JSON对象的POST请求,例如,,将被400拒绝。例如,内容为的请求将因此被拒绝。 任何具有以外的内容类型的请求将被400拒绝。例如,具有内容类型的请求将因此被拒绝。 所有GET请求都是安全的,因此不会修改任何服务器端数据。 客户端通

  • 问题内容: 我正在运营一个小型网站,用户可以在其中上传JSON中定义的自定义“对象”。最近,我了解了使用JSON自动类型反序列化的可能威胁:JSON problem 。我认为我了解问题所在,但我必须要求确定。如果我仅使用给定的特定类型(此处为)反序列化传入的JSON,并且内部没有类型,并且该类型的任何成员的子类型都没有该类型,或者没有什么会变坏的,对吗? 的设置为(我们不要质疑这个决定,它可能可以

  • 我有这样一个类,它扩展了一个实现CustomTaskChange的类。由于一些类属性(如列名和类型)是通过XML文件传递给它的,所以我需要进行字符串级联。我确实使用PreparedStatement,但我想知道我是否仍然因为它而容易受到SQL注入的攻击,如果是这样的话,我该如何使它安全呢?XML是一个Liquibase变更集(我将在下面留下一个示例)。

  • 我们一直在开发游戏Cocos2DX,我们收到了谷歌女巫的警告: 本邮件末尾列出的您的应用程序使用的OpenSSL版本包含一个或多个安全漏洞。请尽快将您的应用迁移到OpenSSL 1.02f/1.01r或更高版本,并增加升级后的APK的版本号。从2016年7月11日开始,Google Play将阻止发布任何使用旧版本OpenSSL的新应用或更新。如果您使用捆绑了OpenSSL的第三方库,您需要将其升