Log4j 漏洞影響
Log4j CVE-2021-44228 漏洞影響
近期,主流日誌組件 log4j2 爆發了 安全漏洞 CVE-2021-44228。
以下是 CVE-2021-44228 漏洞對 Apache Dubbo 框架影響的總結以及使用者應對指南。
Dubbo 影響範圍
**此漏洞對 Dubbo 框架的安全性沒有影響。**
Dubbo 本身並未強依賴 log4j2 框架,也不會透過依賴傳遞將 log4j2 帶入業務專案。因此,正在使用 Dubbo 2.7.x、3.0.x 等版本的用戶無需強制升級 Dubbo 版本。
以下是 Dubbo 組件對 log4j2 的依賴分析,涉及 dubbo-common、dubbo-spring-boot-starter 和 dubbo-spring-boot-actuator
- dubbo-common 包含對
log4j-core的一個可選依賴。請檢查專案本身是否啟用了 log4j 依賴,如果啟用了,請相應升級。
[INFO] --- maven-dependency-plugin:3.1.2:tree (default-cli) @dubbo-common ---
[INFO] org.apache.dubbo:dubbo-common:jar:2.7.14-SNAPSHOT
[INFO] +- org.apache.logging.log4j:log4j-api:jar:2.11.1:provided
[INFO] \- org.apache.logging.log4j:log4j-core:jar:2.11.1:provided
- dubbo-spring-boot-starter 透過 spring-boot 組件傳遞了 log4j-api 依賴。Log4j-api 本身沒有安全問題。升級 log4j-core 組件時,需要注意與 log4j-api 的相容性。
[INFO] --- maven-dependency-plugin:3.1.2:tree (default-cli) @dubbo-spring-boot-starter ---
[INFO] org.apache.dubbo:dubbo-spring-boot-starter:jar:2.7.14-SNAPSHOT
[INFO] \- org.springframework.boot:spring-boot-starter:jar:2.3.1.RELEASE:compile (optional)
[INFO] \- org.springframework.boot:spring-boot-starter-logging:jar:2.3.1.RELEASE:compile (optional)
[INFO] \- org.apache.logging.log4j:log4j-to-slf4j:jar:2.13.3:compile (optional)
[INFO] \- org.apache.logging.log4j:log4j-api:jar:2.13.3:compile (optional)
- dubbo-spring-boot-actuator 透過 spring-boot 組件傳遞了 log4j-api 依賴。Log4j-api 本身沒有安全問題。升級 log4j-core 組件時,需要注意與 log4j-api 的相容性。
[INFO] org.apache.dubbo:dubbo-spring-boot-actuator:jar:2.7.14-SNAPSHOT
[INFO] \- org.springframework.boot:spring-boot-starter-web:jar:2.3.1.RELEASE:compile (optional)
[INFO] \- org.springframework.boot:spring-boot-starter:jar:2.3.1.RELEASE:compile
[INFO] \- org.springframework.boot:spring-boot-starter-logging:jar:2.3.1.RELEASE:compile
[INFO] \- org.apache.logging.log4j:log4j-to-slf4j:jar:2.13.3:compile
[INFO] \- org.apache.logging.log4j:log4j-api:jar:2.13.3:compile
最後修改日期:2023 年 12 月 15 日:更新安全文件 (#2878) (cd1be029d5a)
