WSO2IS:Log4j 1.2安全漏洞
WSO2IS 5.8包括Log4j 1.2.17 已针对Log4j 1识别出一个安全漏洞CVE-2019-17571。Log4j包括一个SocketServer,它接受序列化的日志事件并反序列化它们,而不验证是否允许对象。这可以提供一个可以被攻击的攻击向量。 有人知道是否可以在WSO2IS 5.8的上下文中利用此漏洞WSO2IS:Log4j 1.2安全漏洞,log4j,wso2is,Log4j,Wso2is,WSO2IS 5.8包括Log4j 1.2.17 已针对Log4j 1识别出一个安全漏洞CVE-2019-17571。Log4j包括一个SocketServer,它接受序列化的日志事件并反序列化它们,而不验证是否允许对象。这可以提供一个可以被攻击的攻击向量。 有人知道是否可以在WSO2IS 5.8的上下文中利用此漏洞 提前谢谢 WSO2经常在发现问题时发布安全补丁。你能写信给我吗security@wso2.com检查一下 此外,作为安全最佳实践,我们建议使用security@wso2.com随时
提前谢谢 WSO2经常在发现问题时发布安全补丁。你能写信给我吗security@wso2.com检查一下 此外,作为安全最佳实践,我们建议使用security@wso2.com随时报告安全问题——这是所有开源项目都遵循的一种常见做法 更新:尽管WSO2 Identity Server 5.8.0具有此依赖性,但它不使用SocketServer提供的任何功能因此,任何使用5.8.0版本的人都不受影响。此外,由于是5.9.0,此依赖关系升级到Log4j 2
这里有更多详细信息:WSO2经常在发现问题时发布安全补丁。你能写信给我吗security@wso2.com检查一下 此外,作为安全最佳实践,我们建议使用security@wso2.com随时报告安全问题——这是所有开源项目都遵循的一种常见做法 更新:尽管WSO2 Identity Server 5.8.0具有此依赖性,但它不使用SocketServer提供的任何功能因此,任何使用5.8.0版本的人都不受影响。此外,由于是5.9.0,此依赖关系升级到Log4j 2
更多详细信息:Prabath,您在哪里找到“更新”信息?能给我提供一个链接吗?提前谢谢@菲利佩,你可以在这里找到信息,非常感谢Janak!这正是我要找的!普拉巴斯,你在哪里找到“更新”信息的?能给我提供一个链接吗?提前谢谢@菲利佩,你可以在这里找到信息,非常感谢Janak!这正是我要找的!