一般:JFrog服务不受漏洞CVE-2021-44228的影响

在2021年12月10日，RCE(远程代码执行)漏洞被暴露在几个版本的Apache Log4j 2
实用程序。

受影响的代码存在于log4j核心库中:log4j-core-*.jar，版本为2.0到2.14.1。

经过JFrog安全和研发团队的内部研究和验证，我们可以确认JFrog服务没有受到此漏洞的影响(cve - 2021 - 44228）.首先，我们验证了JFrog服务没有配置为实现log4j-core包。此外，我们可以确认JFrog服务(例如Artifactory)中使用的JDK版本包含通过JNDI对象加载远程类的默认保护。因此，对于JFrog解决方案，JFrog客户不需要针对此问题采取任何行动。

JFrog安全和Xray产品团队已经更新了Xray数据库，其中包含有关此漏洞的CVE信息，这些信息可供Xray客户使用，以协助检测和修复客户组合。

JFrog已经检查并验证了以下产品没有引用易受攻击的库:hth华体会最新官方网站

Artifactory 6。X和7。x, and the accompanying Access service

x光

分布

任务控制

的见解

更多信息请访问在这里．

Artifactory的include/exclude模式特性可以用来阻止log4j的下载，下面的示例将排除2.15 -以下的log4j-core版本* * / log4j-core-2。?。* //阻止2.0版本。X到2.9.X

核心- 2.10 * * * / log4j -

核心- 2.11 * * * / log4j -

核心- 2.12 * * * / log4j -

核心- 2.13 * * * / log4j -

核心- 2.14 * * * / log4j -
*请根据您的组织要求更新排除的图案。

更多的信息可以在我们的知识库中找到-如何使用包括/排除模式?