Log4JS npm 包是否容易受到 CVE-2021-44228 Log4J 漏洞的影响
Is Log4JS npm package vulnerable to CVE-2021-44228 Log4J vulnerability
正如标题所说。在网上寻找了一个明确的答案,但在任何地方都找不到答案,因为他们中的大多数只是 link 到 Log4J。
答案很简单:Log4JS 和 Log4J 仅共享相似的名称和 API。代码库完全不同(并且用不同的语言编写)。 Log4J的漏洞显然不适用于Log4JS。
这种漏洞甚至无法在 Java脚本中轻松实现。 Java的漏洞是基于JNDI lookups, which usually are used to retrieve simple configuration data. However they also allow to retrieve serialized Java objects and new classes (cf. Oracle's documentation).
与此漏洞等效的 Java 脚本是一个格式化程序,用于替换:
log.info('${jndi:some JS code}');
和
log.info(eval(some JS code));
正如标题所说。在网上寻找了一个明确的答案,但在任何地方都找不到答案,因为他们中的大多数只是 link 到 Log4J。
答案很简单:Log4JS 和 Log4J 仅共享相似的名称和 API。代码库完全不同(并且用不同的语言编写)。 Log4J的漏洞显然不适用于Log4JS。
这种漏洞甚至无法在 Java脚本中轻松实现。 Java的漏洞是基于JNDI lookups, which usually are used to retrieve simple configuration data. However they also allow to retrieve serialized Java objects and new classes (cf. Oracle's documentation).
与此漏洞等效的 Java 脚本是一个格式化程序,用于替换:
log.info('${jndi:some JS code}');
和
log.info(eval(some JS code));