我们正在构建一个基于红帽 JBoss AMQ 6 的应用程序。我们在基础映像周围封装了一些 Java 代码,以提供 AMQ 6 中缺少的额外功能。
现在,当Log4j的CVE敲击时,我们发现该组件存在漏洞,因为它使用log4j 1.x。现在,我的意思不仅仅是我们的 Java 代码使用它,而且 Red Hat AMQ 6 的基本映像也使用它。由于 AMQ 6 现已 EOL,Red Hat 不再提供支持,因此不会有修复的正式版本。
那么,如何从以下位置删除易受攻击的 log4j 1.x 类:
?
我正在建设jib
Maven 插件。
它似乎mvn dependency:tree
只提供有关 Java 包装器代码的信息,而不提供有关基础映像的信息。我不明白“+”和“-”的含义,而它给出的输出如下:
[INFO] +- org.jboss.resteasy:resteasy-jaxrs:jar:3.7.0.Final:compile
[INFO] | +- org.jboss.spec.javax.ws.rs:jboss-jaxrs-api_2.1_spec:jar:1.0.2.Final:compile
[INFO] | +- org.jboss.spec.javax.xml.bind:jboss-jaxb-api_2.3_spec:jar:1.0.1.Final:compile
[INFO] | +- org.reactivestreams:reactive-streams:jar:1.0.2:compile
[INFO] | +- javax.validation:validation-api:jar:2.0.1.Final:compile
[INFO] | +- org.jboss.spec.javax.annotation:jboss-annotations-api_1.3_spec:jar:1.0.1.Final:compile
[INFO] | +- javax.activation:activation:jar:1.1.1:compile
[INFO] | +- org.apache.httpcomponents:httpclient:jar:4.5.4:compile
[INFO] | | +- org.apache.httpcomponents:httpcore:jar:4.4.7:compile
[INFO] | | +- commons-logging:commons-logging:jar:1.2:compile
[INFO] | | \- commons-codec:commons-codec:jar:1.10:compile
[INFO] | +- commons-io:commons-io:jar:2.5:compile
[INFO] | +- net.jcip:jcip-annotations:jar:1.0:compile
[INFO] | \- org.jboss.logging:jboss-logging:jar:3.3.2.Final:compile
Does +
意味着它可以进一步扩展但这里没有显示?
这里有一些背景:https://nvd.nist.gov/vuln/detail/CVE-2021-44228
您可以使用:
mvn dependency:tree -Dincludes=*log4j*
它将找到其 groupId 中任何位置具有“log4j”的任何依赖项和传递依赖项。
输出示例:
\- org.springframework.boot:spring-boot-starter-web:jar:2.6.0:compile
[INFO] \- org.springframework.boot:spring-boot-starter:jar:2.6.0:compile
[INFO] \- org.springframework.boot:spring-boot-starter-logging:jar:2.6.0:compile
[INFO] \- org.apache.logging.log4j:log4j-to-slf4j:jar:2.14.1:compile
[INFO] \- org.apache.logging.log4j:log4j-api:jar:2.14.1:compile
每个模式段都是可选的,并且支持完整和部分 * 通配符。空模式段被视为隐式通配符。
例如,org.apache.* 将匹配其组 ID 以 org.apache. 开头的所有工件,而 :::*-SNAPSHOT 将匹配所有快照工件。
也可以看看行家文档
EDIT
那么您很可能希望通过以下方式排除这些依赖项:
<dependency>
<groupId>your dep groupId</groupId>
<artifactId>your dep artifactId</artifactId>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
</exclusion>
</exclusions>
</dependencies>
Notes
在撰写本文时,它是
存在漏洞的 Log4j 版本可在Maven 存储库
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)