Log4j 漏洞影响
Log4j CVE-2021-44228 漏洞影响
最近,主流日志组件 log4j2 爆发 安全漏洞 CVE-2021-44228.
以下是 CVE-2021-44228 漏洞对 Apache Dubbo 框架的影响以及用户应对指南的总结。
Dubbo 影响范围
**此漏洞对 Dubbo 框架的安全性没有影响。**
Dubbo 本身并不依赖 log4j2 框架,也不通过依赖传递将 log4j2 带入业务项目。因此,使用 Dubbo 2.7.x、3.0.x 等版本的用户无需强制升级 Dubbo 版本。
以下是 Dubbo 组件对 log4j2 依赖的分析,涉及 dubbo-common、dubbo-spring-boot-starter 和 dubbo-spring-boot-actuator
- dubbo-common 包含对
log4j-core的可选依赖。请检查项目本身是否启用了 log4j 依赖。如果是,请相应升级。
[INFO] --- maven-dependency-plugin:3.1.2:tree (default-cli) @dubbo-common ---
[INFO] org.apache.dubbo:dubbo-common:jar:2.7.14-SNAPSHOT
[INFO] +- org.apache.logging.log4j:log4j-api:jar:2.11.1:provided
[INFO] \- org.apache.logging.log4j:log4j-core:jar:2.11.1:provided
- dubbo-spring-boot-starter 通过 spring-boot 组件传递 log4j-api 依赖。Log4j-api 本身没有安全问题。升级 log4j-core 组件时,请注意与 log4j-api 的兼容性。
[INFO] --- maven-dependency-plugin:3.1.2:tree (default-cli) @dubbo-spring-boot-starter ---
[INFO] org.apache.dubbo:dubbo-spring-boot-starter:jar:2.7.14-SNAPSHOT
[INFO] \- org.springframework.boot:spring-boot-starter:jar:2.3.1.RELEASE:compile (optional)
[INFO] \- org.springframework.boot:spring-boot-starter-logging:jar:2.3.1.RELEASE:compile (optional)
[INFO] \- org.apache.logging.log4j:log4j-to-slf4j:jar:2.13.3:compile (optional)
[INFO] \- org.apache.logging.log4j:log4j-api:jar:2.13.3:compile (optional)
- dubbo-spring-boot-actuator 通过 spring-boot 组件传递 log4j-api 依赖。Log4j-api 本身没有安全问题。升级 log4j-core 组件时,请注意与 log4j-api 的兼容性。
[INFO] org.apache.dubbo:dubbo-spring-boot-actuator:jar:2.7.14-SNAPSHOT
[INFO] \- org.springframework.boot:spring-boot-starter-web:jar:2.3.1.RELEASE:compile (optional)
[INFO] \- org.springframework.boot:spring-boot-starter:jar:2.3.1.RELEASE:compile
[INFO] \- org.springframework.boot:spring-boot-starter-logging:jar:2.3.1.RELEASE:compile
[INFO] \- org.apache.logging.log4j:log4j-to-slf4j:jar:2.13.3:compile
[INFO] \- org.apache.logging.log4j:log4j-api:jar:2.13.3:compile
上次修改时间:2023 年 12 月 15 日:更新安全文档 (#2878) (cd1be029d5a)
