[英]JAVA formatMsgNoLookups option (CVE-2021-44228)
当我跑
$ java -XX:+UnlockDiagnosticVMOptions -XX:+PrintFlagsFinal -version | grep -i formatMsgNoLookups
我在 output 中没有得到 formatMsgNoLookups 选项。 这是否意味着我不容易受到 CVE-2021-44228 的攻击?
你把事情混为一谈。 log4j2.formatMsgNoLookups是一个由 log4j2 日志库获取的系统属性。 它不是 JVM 标志,不会由-XX:+PrintFlagsFinal打印。 如果启用,则 log4j2 不会从格式消息中执行查找,从而通过禁用此攻击向量来缓解漏洞。
只有在 Java 应用程序中实际使用 log4j2 时,您才会容易受到 CVE-2021-44228 的攻击。 让我重复一遍:您的应用程序是易受攻击的,而不是 Java 或 JVM 本身。 在同一个 JVM 上,一个应用程序可能易受攻击,而另一个应用程序则不然。
(如果是的话,没有它反而表明相反:你很脆弱)
带有 java.util.logger 的日志是否受 CVE-2021-44228 影响?
[英]Logs with java.util.logger are affected by CVE-2021-44228?
利用 Java 的沙箱缓解 CVE-2021-44228(log4j2 远程代码执行)?
[英]Leveraging Java's sandbox to mitigate CVE-2021-44228( log4j2 remote code execution)?
Java CVE-2021-26291 on maven-core-3.0.jar maven-core-3.1.0.jar
[英]Java CVE-2021-26291 on maven-core-3.0.jar maven-core-3.1.0.jar
zip -d log4j-1.X.jar 不工作(log4j 1.X 漏洞 CVE-2021-4104)
[英]zip -d log4j-1.X.jar not working (log4j 1.X vulnerability CVE-2021-4104 )
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.