Jfrog建议将log4j升级到2.15作为永久修复。我可以用最新的log4j-api.jar文件替换吗?或者Jfrog发布了最新的补丁吗?
我怎样才能完全解决这个问题?解决此问题的最佳方法是将您的log4j依赖关系升级到2.15.0版本,这在多个层面上解决了此问题,并提高了log4j的整体安全性。
作为额外的保护层,我们还建议全局设置LOG4J_FORMAT_MSG_NO_LOOKUPS环境变量(请参阅下一节(。
@Syed JFrog产品不受此漏洞的影响,因为它们没有使用log4j核心包。我们可以确认,JFrog服务不受CVE-2021-44228的影响。
JFrog Security已经验证了JFrog平台解决方案本身没有受到影响,因为没有产品,包括使用log4j核心包的Artifactory版本6.x或7.x。CVE-2021-44228只影响"log4j核心",该核心未在Artifactory中使用。其他包,如log4j-over-slf4j、log4j-api和log4j-to-slf4j不受影响。
因此,用户无需执行任何操作即可升级此库。