以下是 JFrog 的正式答复。免责声明,我在 JFrog 工作
2021 年 12 月 10 日,Apache Log4j 2 实用程序的多个版本中暴露了 RCE(远程代码执行)漏洞。
受影响的代码存在于 log4j 核心库中:log4j-core-*.jar,版本 2.0 至 2.14.1。
经过JFrog安全和研发团队的内部研究和验证,我们可以确认JFrog服务不受此漏洞(CVE-2021-44228)的影响。首先,我们已验证 JFrog 服务未配置为实现 log4j-core 包。此外,我们可以确认 JFrog 服务中使用的 JDK 版本(例如 Artifactory)包含针对通过 JNDI 对象进行远程类加载的默认保护。因此,JFrog 客户无需针对 JFrog 解决方案的此问题采取任何行动。
JFrog Security 和 Xray 产品团队已使用有关此漏洞的 CVE 信息更新了 Xray 数据库,这些信息将可供 Xray 客户使用,以协助跨客户组合进行检测和修复。
JFrog 已检查并验证以下产品均未引用易受攻击的库:
Artifactory 6.x 和 7.x 以及随附的 Access 服务
- X射线
- 分配
- 任务控制
- 见解
来源:一般:JFrog 服务不受漏洞 CVE-2021-44228 影响
| 归档时间: |
|
| 查看次数: |
2048 次 |
| 最近记录: |