关于 CVE-2021-44228 的更新

新闻 > 关于 CVE-2021-44228 的更新

摘要

CVE-2021-44228 近期发布,它导致邮件列表和 Jira 上出现了大量来自用户的流量,他们对该漏洞对 ActiveMQ“Classic”和 Artemis 的影响感到好奇。简而言之,**CVE-2021-44228 对任何 ActiveMQ 代理都没有影响**,因为没有 ActiveMQ 代理使用任何版本的 Log4j2。重申一下,**无需采取任何措施来缓解 CVE-2021-44228**。

更多详情

ActiveMQ“Classic”确实使用 Log4j 进行日志记录,但最新版本(即 5.15.155.16.3)使用 Log4j 1.2.17,不受 CVE-2021-44228 的影响。该版本的 Log4j 自 5.7.0 版本开始使用。即将发布的 ActiveMQ 5.17.0 将使用 Log4j2,但拉取请求将在合并之前更新为使用更高版本的 Log4j 2.x 以缓解此 CVE。

ActiveMQ Artemis 不使用 Log4j 进行日志记录。但是,Log4j 1.2.17 包含在基于 Hawtio 的 Web 控制台应用程序存档中(即 web/console.war/WEB-INF/lib)。虽然此版本的 Log4j 不受 CVE-2021-44228 的影响,但未来版本的 Artemis 将更新,以便不再将 Log4j jar 包含在 Web 控制台应用程序存档中。有关该任务的更多信息,请参见 ARTEMIS-3612

Apache、ActiveMQ、Apache ActiveMQ、Apache 羽毛徽标和 Apache ActiveMQ 项目徽标是 Apache 软件基金会的商标。版权所有 © 2024,Apache 软件基金会。根据 Apache 许可证 2.0 授权。