WSO2IS是否受到CVE-2021-44228的影响?
如果是,我们可以更新https://docs.wso2.com/display/Security/2021+咨询(关于哪些版本受到影响,建议的补救措施是什么(?
-
确保您有"zip";以及";解压缩";安装在承载产品的服务器上的命令。
-
选项1:导航到产品主文件夹并运行以下命令:
curl https://raw.githubusercontent.com/wso2/security-tools/master/internal/update-scripts/CVE-2021-44228-mitigation.sh | bash
选项2:或者从https://raw.githubusercontent.com/wso2/security-tools/master/internal/update-scripts/CVE-2021-44228-mitigation.sh
下载脚本,将脚本复制到产品主页,然后使用以下命令从产品主页运行脚本:
bash CVE-2021-44228-mitigation.sh
这仅适用于WSO2 Identity Server 5.9.0及以上版本。WSO2对此进行了公开宣布。
https://docs.wso2.com/pages/viewpage.action?pageId=180948677
使用一些wso2库的插件/扩展进一步使用log4j2内核呢?例如:org.wso2.corbon:org.wso2.carbon.utils:jar:4.6.1将pax日志记录作为依赖项,最终将log4j 2.12.1作为所提供的依赖项。
[INFO] +- org.wso2.carbon:org.wso2.carbon.utils:jar:4.6.1:compile
[INFO] | +- org.wso2.orbit.org.bouncycastle:bcprov-jdk15on:jar:1.60.0.wso2v1:compile
[INFO] | | - org.bouncycastle:bcprov-jdk15on:jar:1.60:compile
[INFO] | +- org.wso2.carbon:org.wso2.carbon.user.api:jar:4.6.1:compile
[INFO] | | - (org.wso2.carbon:org.wso2.carbon.base:jar:4.6.1:compile - omitted for duplicate)
[INFO] | +- org.wso2.carbon:org.wso2.carbon.bootstrap:jar:4.6.1:compile
[INFO] | | +- (org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile - omitted for duplicate)
[INFO] | | - wrapper:wrapper:jar:3.2.3:compile
[INFO] | +- org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile
[INFO] | | +- org.osgi:osgi.core:jar:6.0.0:compile
[INFO] | | - org.osgi:osgi.cmpn:jar:6.0.0:compile
[INFO] | +- **org.ops4j.pax.logging:pax-logging-log4j2:jar:1.11.3:compile**
[INFO] | | +- (org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile - omitted for duplicate)
[INFO] | | +- (org.osgi:osgi.core:jar:6.0.0:compile - omitted for duplicate)
[INFO] | | - (org.osgi:osgi.cmpn:jar:6.0.0:compile - omitted for duplicate)
这与wso2 is版本无关。