Puncte:0

Cum să înlocuiți/actualizați Apache Log4j 1.2.x cu 2.17?

drapel us

Scanerul meu de vulnerabilități a semnalat recent o instalare neacceptată a Apache Log4j într-o versiune de MS SQL pe care tocmai am implementat-o ​​recent (SQL 2019). Determină două constatări cu prioritate ridicată pe care trebuie să le rezolv. Pare să fie, în mod specific, fișierul log4j-1.2.17.jar care este implicat.

Evident, există o versiune 2.17.1 disponibilă aici: https://logging.apache.org/log4j/2.x/download.html

Din pacate nu stiu cum sa-l folosesc. Nu există niciun program de instalare, doar o grămadă de fișiere. Același site are o secțiune de articole care par a fi orientate spre modul în care dezvoltatorii pot folosi Apache2 (care pare să fie ceea ce este de fapt această colecție de fișiere), dar nu sunt un dezvoltator, doar un manager de sisteme. Bănuiesc că aceasta nu este doar o operație de glisare și plasare, deoarece sunt sigur că fișierul marcat este apelat de aplicație cumva.

Din păcate, pe lângă faptul că nu sunt un dezvoltator, nu am o înțelegere detaliată a modului în care funcționează de fapt MS SQL 2019, așa că nu știu ce ar merge prost dacă pur și simplu aș schimba acel fișier cu unul nou manual (și nu există candidat clar pentru asta oricum).

Există îndrumări despre cum să migrați între versiunile de Apache pentru aplicațiile care instalează o anumită versiune pentru uzul propriu?

drapel jp
https://docs.microsoft.com/en-us/answers/questions/662469/log4j-vulnerability-concerns.html
drapel us
Mulțumesc; Am căutat Technet, dar am venit fără indicii înainte. Mi se pare că singura soluție reală este eliminarea fișierului specific ofensator. Ștergerea manuală pare a fi singura modalitate de a realiza acest lucru. Am încercat acest lucru și pare să atenueze rezultatele în cauză și nu pare să afecteze nivelul de aplicație de deasupra acestei baze de date. Va monitoriza, însă.
Puncte:1
drapel in

Dacă nu aveți codul sursă al unui proiect și doriți doar să remediați vulnerabilitățile log4j 1.x, puteți utiliza reîncărcare4j proiect. Permite înlocuirea fișierului log4j-1.2.17.jar de fișierul jar reload4j fără alte modificări.

Proiectul reload4j este un furk al Apache log4j versiunea 1.2.17 pentru a rezolva cele mai presante probleme de securitate. Este conceput ca un înlocuitor pentru log4j versiunea 1.2.17. Prin drop-in, ne referim la înlocuirea log4j.jar cu reload4j.jar în versiunea dvs. fără a fi nevoie să faceți modificări codului sursă, adică fișierelor dvs. java.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.