Question

WSO2IS 5.8 включает Log4j 1.2.17

В Log4j была выявлена уязвимость системы безопасности CVE-2019-17571 1. Log4j включает в себя SocketServer, который принимает сериализованные события журнала и десериализует их, не проверяя, являются ли объекты объектами. разрешено или нет. Это может обеспечить вектор атаки, который можно подвергнуть опасности.

Кто-то знает, можно ли использовать эту уязвимость в контексте WSO2IS 5.8?

Заранее спасибо!

Prabath Siriwardena · Answer 1 · 12 марта 2020

WSO2 очень часто выпускает исправления безопасности по мере обнаружения проблем. Не могли бы вы написать security@wso2.com и проверить.

Также - в качестве наилучшей практики безопасности мы рекомендуем постоянно использовать security@wso2.com для сообщения о проблемах безопасности - это обычная практика, которой придерживаются все проекты с открытым исходным кодом. .

ОБНОВЛЕНИЕ : Несмотря на то, что WSO2 Identity Server 5.8.0 имеет эту зависимость, он не использует никаких функций, предоставляемых SocketServer. Итак, на всех, кто использует версию 5.8.0, это НЕ влияет. Кроме того, начиная с версии 5.9.0, эта зависимость обновлена до Log4j 2.

Подробнее здесь: https://wso2.com/security

WSO2IS: уязвимость безопасности в Log4j 1.2

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

WSO2IS: уязвимость безопасности в Log4j 1.2

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы