那些遇到过的问题

Log4j CVE-2021-44228 会影响哪个版本的 Kafka?

sup*_*b86 19 security log4j apache-kafka

哪些版本的 Kafka 受到CVE-2021-44228的影响?

关于此漏洞的Apache Kafka 安全漏洞尚未更新。

sam*_*cde 26

更新2021-12-15

APACHE KAFKA 安全漏洞已确认:

  1. CVE-2021-45046

用户不应受到此漏洞的影响

  1. CVE-2021-44228

用户不应受到此漏洞的影响

  1. CVE-2021-4104

Log4J 1.x 版本可以配置为使用 JMS Appender,它将日志事件发布到 JMS 主题。如果部署的应用程序配置为使用 JMSAppender,则 Log4j 1.x 容易受到攻击。

因此,请检查该网站以了解详细信息。

更新2021-12-13

根据bovine的建议,log4j1.x也可能受到此漏洞的影响。

严格来说,如果使用 Log4j 1.x 的应用程序的配置使用 JNDI,则可能会受到影响。然而,风险要低得多。

请参阅此链接了解最新状态。

不使用 log4j2 的证据

通过检查dependencies.gradleKafka:
1.0.03.0.0 都使用1.2.17。
由于该问题影响的是 2.0-beta9 到 2.14.1版本,Kafka 不受此安全漏洞的影响。

  • 该漏洞还[影响 log4j 1.x 的所有版本](https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126);然而,它已经停产,并且还有其他无法修复的安全漏洞。(引用:“log4j 1.x 包含一个可以使用 JNDI 的 JMS Appender。所以我想说,是的,log4j 1.x 也受到此漏洞的影响”) (5认同)

归档时间:

查看次数:

18765 次

最近记录:

3 年,9 月 前
相关归档
在Web注册上验证用户电子邮件的重要性 6
是否可以继承 log4j 记录器配置? 6
喷雾安全:如何保护路线? 6
如何在 avro 模式中定义 byte[] 和 LocalDateTime? 6
负载平衡1主题Kafka群集 6
卡夫卡:基于群体的方法来选举新的领导者? 5
使用log4j和axis2时出现问题 3
Avro.AvroException:数组未在字段中实现非通用 IList 3
Kafka Streams-无法重新平衡错误 2
有关p3p策略编辑器的任何建议吗? 1
难疑归档
如何在C#中枚举枚举? 3620
从Git中的分支中删除提交 3035
Flash CS4拒绝放手 2735
如何克隆或复制列表? 2289
如何显示PHP错误? 1646
JavaScript检查变量是否存在(定义/初始化) 1642
什么是按位移位(位移)运算符以及它们如何工作? 1340
用于更新和删除的HTTP状态代码? 1264
将ArrayList <String>转换为String []数组 1102
Ukkonen的简明英语后缀树算法 1065