WSO2IS 和 CVE-2021-44228
WSO2IS and CVE-2021-44228
WSO2IS 是否受到 CVE-2021-44228 的影响?
如果是这样,我们能否更新 https://docs.wso2.com/display/Security/2021+Advisories(受影响的版本以及建议的补救措施)?
确保您在托管产品的服务器上安装了“zip”和“unzip”命令。
选项 1:导航到产品主文件夹并运行执行以下命令:
curl https://raw.githubusercontent.com/wso2/security-tools/master/internal/update-scripts/CVE-2021-44228-mitigation.sh | bash
选项 2:或者从 https://raw.githubusercontent.com/wso2/security-tools/master/internal/update-scripts/CVE-2021-44228-mitigation.sh
下载脚本,将脚本复制到产品主页,然后 运行 从产品主页下载脚本,使用以下命令:
bash CVE-2021-44228-mitigation.sh
仅适用于WSO2 Identity Server 5.9.0及以上版本。 WSO2 对此发布了 public 公告。
https://docs.wso2.com/pages/viewpage.action?pageId=180948677
plugins/extensions 使用一些 wso2 库进一步使用 log4j2 核心怎么样?
例如:org.wso2.carbon:org.wso2.carbon.utils:jar:4.6.1 将 pax 日志记录作为依赖项,最终将 log4j 2.12.1 作为提供的依赖项。
[INFO] +- org.wso2.carbon:org.wso2.carbon.utils:jar:4.6.1:compile
[INFO] | +- org.wso2.orbit.org.bouncycastle:bcprov-jdk15on:jar:1.60.0.wso2v1:compile
[INFO] | | \- org.bouncycastle:bcprov-jdk15on:jar:1.60:compile
[INFO] | +- org.wso2.carbon:org.wso2.carbon.user.api:jar:4.6.1:compile
[INFO] | | \- (org.wso2.carbon:org.wso2.carbon.base:jar:4.6.1:compile - omitted for duplicate)
[INFO] | +- org.wso2.carbon:org.wso2.carbon.bootstrap:jar:4.6.1:compile
[INFO] | | +- (org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile - omitted for duplicate)
[INFO] | | \- wrapper:wrapper:jar:3.2.3:compile
[INFO] | +- org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile
[INFO] | | +- org.osgi:osgi.core:jar:6.0.0:compile
[INFO] | | \- org.osgi:osgi.cmpn:jar:6.0.0:compile
[INFO] | +- **org.ops4j.pax.logging:pax-logging-log4j2:jar:1.11.3:compile**
[INFO] | | +- (org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile - omitted for duplicate)
[INFO] | | +- (org.osgi:osgi.core:jar:6.0.0:compile - omitted for duplicate)
[INFO] | | \- (org.osgi:osgi.cmpn:jar:6.0.0:compile - omitted for duplicate)
这与 wso2 IS 版本无关。
WSO2IS 是否受到 CVE-2021-44228 的影响?
如果是这样,我们能否更新 https://docs.wso2.com/display/Security/2021+Advisories(受影响的版本以及建议的补救措施)?
确保您在托管产品的服务器上安装了“zip”和“unzip”命令。
选项 1:导航到产品主文件夹并运行执行以下命令:
curl https://raw.githubusercontent.com/wso2/security-tools/master/internal/update-scripts/CVE-2021-44228-mitigation.sh | bash
选项 2:或者从 https://raw.githubusercontent.com/wso2/security-tools/master/internal/update-scripts/CVE-2021-44228-mitigation.sh
下载脚本,将脚本复制到产品主页,然后 运行 从产品主页下载脚本,使用以下命令:
bash CVE-2021-44228-mitigation.sh
仅适用于WSO2 Identity Server 5.9.0及以上版本。 WSO2 对此发布了 public 公告。
https://docs.wso2.com/pages/viewpage.action?pageId=180948677
plugins/extensions 使用一些 wso2 库进一步使用 log4j2 核心怎么样? 例如:org.wso2.carbon:org.wso2.carbon.utils:jar:4.6.1 将 pax 日志记录作为依赖项,最终将 log4j 2.12.1 作为提供的依赖项。
[INFO] +- org.wso2.carbon:org.wso2.carbon.utils:jar:4.6.1:compile
[INFO] | +- org.wso2.orbit.org.bouncycastle:bcprov-jdk15on:jar:1.60.0.wso2v1:compile
[INFO] | | \- org.bouncycastle:bcprov-jdk15on:jar:1.60:compile
[INFO] | +- org.wso2.carbon:org.wso2.carbon.user.api:jar:4.6.1:compile
[INFO] | | \- (org.wso2.carbon:org.wso2.carbon.base:jar:4.6.1:compile - omitted for duplicate)
[INFO] | +- org.wso2.carbon:org.wso2.carbon.bootstrap:jar:4.6.1:compile
[INFO] | | +- (org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile - omitted for duplicate)
[INFO] | | \- wrapper:wrapper:jar:3.2.3:compile
[INFO] | +- org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile
[INFO] | | +- org.osgi:osgi.core:jar:6.0.0:compile
[INFO] | | \- org.osgi:osgi.cmpn:jar:6.0.0:compile
[INFO] | +- **org.ops4j.pax.logging:pax-logging-log4j2:jar:1.11.3:compile**
[INFO] | | +- (org.ops4j.pax.logging:pax-logging-api:jar:1.11.3:compile - omitted for duplicate)
[INFO] | | +- (org.osgi:osgi.core:jar:6.0.0:compile - omitted for duplicate)
[INFO] | | \- (org.osgi:osgi.cmpn:jar:6.0.0:compile - omitted for duplicate)
这与 wso2 IS 版本无关。