Neo4j 3.5 是否受 CVE-2021-44228 影响?
Is neo4j 3.5 impacted by CVE-2021-44228?
我发现只有 neo4j > 4.2 受此漏洞影响 ( and here )
但是在 neo4j 3.5.21 pom 中我看到了对 log4j 的依赖(here):
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
那么这个版本现在在生产环境中使用真的安全吗?
似乎 log4j 版本 1.2.17 在 neo4j 3.5.21 中使用,并且此版本不易受到 https://nvd.nist.gov/vuln/detail/CVE-2021-44228 的攻击,因为该漏洞是在版本 2.10.0 中引入的。
无论如何 log4j 版本 1.2.17 容易受到 https://nvd.nist.gov/vuln/detail/CVE-2019-17571 的攻击,得分为 9.8(满分 10)。这是一个不同的攻击向量,可能更难利用,但相同作为关键,不应在生产中使用。
您应该以任何方式更新您的 neo4j 版本。
天不会塌下来。要清楚 Log4j 1.2.17 NOT 是否受到 ZDV 的影响。您是 运行 很少使用的网络套接字附加器还是 JDBC 附加器服务器?是 Neo4j 吗? (我不这么认为。)如果你不是,那么没有理由将依赖Log4j 1.x的软件紧急扔进垃圾桶。*
可以肯定的是,Log4j2 是一个突破性的 API 更改,这意味着您不能只是塞入一个新的 JAR 并希望它能正常工作。 (包名称和配置规范已更改。)如果代码使用日志抽象层编写得很好,例如 SLF4J,那么它很容易。但是,如果代码依赖于编程配置设置,就会很痛苦。升级到 Log4j2 可能是一项非常重要的任务。
* 请注意,Log4j 1.x 已经停止支持 window 几年了。此外,Log4j2 是对 API 的完全重写,资源密集度较低、锁定较少且速度相当快(多亏了 LMAX Disruptor)。有升级的理由,但不是紧急情况。
我发现只有 neo4j > 4.2 受此漏洞影响 (
但是在 neo4j 3.5.21 pom 中我看到了对 log4j 的依赖(here):
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
那么这个版本现在在生产环境中使用真的安全吗?
似乎 log4j 版本 1.2.17 在 neo4j 3.5.21 中使用,并且此版本不易受到 https://nvd.nist.gov/vuln/detail/CVE-2021-44228 的攻击,因为该漏洞是在版本 2.10.0 中引入的。
无论如何 log4j 版本 1.2.17 容易受到 https://nvd.nist.gov/vuln/detail/CVE-2019-17571 的攻击,得分为 9.8(满分 10)。这是一个不同的攻击向量,可能更难利用,但相同作为关键,不应在生产中使用。
您应该以任何方式更新您的 neo4j 版本。
天不会塌下来。要清楚 Log4j 1.2.17 NOT 是否受到 ZDV 的影响。您是 运行 很少使用的网络套接字附加器还是 JDBC 附加器服务器?是 Neo4j 吗? (我不这么认为。)如果你不是,那么没有理由将依赖Log4j 1.x的软件紧急扔进垃圾桶。*
可以肯定的是,Log4j2 是一个突破性的 API 更改,这意味着您不能只是塞入一个新的 JAR 并希望它能正常工作。 (包名称和配置规范已更改。)如果代码使用日志抽象层编写得很好,例如 SLF4J,那么它很容易。但是,如果代码依赖于编程配置设置,就会很痛苦。升级到 Log4j2 可能是一项非常重要的任务。
* 请注意,Log4j 1.x 已经停止支持 window 几年了。此外,Log4j2 是对 API 的完全重写,资源密集度较低、锁定较少且速度相当快(多亏了 LMAX Disruptor)。有升级的理由,但不是紧急情况。