關於 CVE-2021-44228 的更新
摘要
最近發布了 CVE-2021-44228,並且在郵件列表和 Jira 上引起了大量使用者的關注,他們好奇此漏洞對 ActiveMQ “Classic” 和 Artemis 的影響。簡而言之,CVE-2021-44228 對任何 ActiveMQ Broker 沒有影響,因為沒有任何 ActiveMQ Broker 使用任何版本的 Log4j2。再次重申,不需要採取任何措施來緩解 CVE-2021-44228。
其他詳細資訊
ActiveMQ “Classic” *確實*使用 Log4j 進行日誌記錄,但是最新版本(即 5.15.15 和 5.16.3)使用 Log4j 1.2.17,此版本不受 CVE-2021-44228 影響。自 5.7.0 版本以來,一直使用此版本的 Log4j。即將推出的 ActiveMQ 5.17.0 將會使用 Log4j2,但是在合併前,將會更新此 pull request 以使用較新版本的 Log4j 2.x 來減輕此 CVE 的影響。
ActiveMQ Artemis *不*使用 Log4j 進行日誌記錄。但是,基於 Hawtio 的 Web 控制台應用程式封存檔(即 web/console.war/WEB-INF/lib)中包含 Log4j 1.2.17。儘管此版本的 Log4j 不受 CVE-2021-44228 影響,但未來版本的 Artemis 將會更新,以便 Log4j jar 不再包含在 Web 控制台應用程式封存檔中。有關該任務的更多資訊,請參閱 ARTEMIS-3612。
