[英]JAVA formatMsgNoLookups option (CVE-2021-44228)
當我跑
$ java -XX:+UnlockDiagnosticVMOptions -XX:+PrintFlagsFinal -version | grep -i formatMsgNoLookups
我在 output 中沒有得到 formatMsgNoLookups 選項。 這是否意味着我不容易受到 CVE-2021-44228 的攻擊?
你把事情混為一談。 log4j2.formatMsgNoLookups是一個由 log4j2 日志庫獲取的系統屬性。 它不是 JVM 標志,不會由-XX:+PrintFlagsFinal打印。 如果啟用,則 log4j2 不會從格式消息中執行查找,從而通過禁用此攻擊向量來緩解漏洞。
只有在 Java 應用程序中實際使用 log4j2 時,您才會容易受到 CVE-2021-44228 的攻擊。 讓我重復一遍:您的應用程序是易受攻擊的,而不是 Java 或 JVM 本身。 在同一個 JVM 上,一個應用程序可能易受攻擊,而另一個應用程序則不然。
(如果是的話,沒有它反而表明相反:你很脆弱)
帶有 java.util.logger 的日志是否受 CVE-2021-44228 影響?
[英]Logs with java.util.logger are affected by CVE-2021-44228?
利用 Java 的沙箱緩解 CVE-2021-44228(log4j2 遠程代碼執行)?
[英]Leveraging Java's sandbox to mitigate CVE-2021-44228( log4j2 remote code execution)?
Java CVE-2021-26291 on maven-core-3.0.jar maven-core-3.1.0.jar
[英]Java CVE-2021-26291 on maven-core-3.0.jar maven-core-3.1.0.jar
zip -d log4j-1.X.jar 不工作(log4j 1.X 漏洞 CVE-2021-4104)
[英]zip -d log4j-1.X.jar not working (log4j 1.X vulnerability CVE-2021-4104 )
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.