JFrog服务不受漏洞CVE-2021-44228的影响

2021年12月10日，多个版本的Apache Log4j 2实用程序。

受影响的代码存在于log4j核心库:log4j-core-*.jar，版本2.0到2.14.1。

经过JFrog安全和研发团队的内部研究和验证，我们可以确认JFrog服务不受此漏洞的影响(cve - 2021 - 44228)．首先，我们验证了JFrog服务没有配置为实现log4j-core包。此外，我们可以确认JFrog服务中使用的JDK版本(例如Artifactory)包含了针对通过JNDI对象加载远程类的默认保护。因此，对于JFrog解决方案的这个问题，JFrog客户不需要采取任何行动。

JFrog安全和Xray产品团队已经用关于该漏洞的CVE信息更新了Xray数据库，Xray客户可以使用这些信息来协助跨客户组合的检测和补救。

JFrog已经检查并验证了以下产品没有引用脆弱库:hth华体会最新官方网站

Artifactory 6。x和7。x, and the accompanying Access service

x光

分布

任务控制

的见解

更多信息请访问在这里．

Artifactory的包括/排除模式特性可能被用来阻止log4j的下载，下面的例子将排除2.15 -以下的log4j-core版本

* * / log4j-core-2。?。* //阻塞2.0版本。X 2.9.X 核心- 2.10 * * * / log4j - 核心- 2.11 * * * / log4j - 核心- 2.12 * * * / log4j - 核心- 2.13 * * * / log4j - 核心- 2.14 * * * / log4j -

*请根据您的组织要求更新被排除的模式。

更多的信息可以在我们的知识库中找到——如何使用包含/排除模式?