Log4JSNPM包是否易受CVE2021-44228 Log4J漏洞的攻击 [英] Is Log4JS npm package vulnerable to CVE-2021-44228 Log4J vulnerability
本文介绍了Log4JSNPM包是否易受CVE2021-44228 Log4J漏洞的攻击的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
正如标题所说。已联机查找明确答案,但在任何地方都找不到答案,因为大多数都只链接到Log4J。
推荐答案
答案很简单:Log4JS和Log4J只是名称和接口相似。代码库是完全不同的(并且是用不同的语言编写的)。Log4J的漏洞不明显适用于Log4JS。
这种漏洞甚至不能在JavaScript中轻松实现。Java漏洞基于JNDI查找,该查找通常用于检索简单的配置数据。但是,它们也允许检索序列化的Java对象和新类(参见Oracle's documentation)。
此漏洞的JavaScript等效项是替换以下内容的格式化程序:
log.info('${jndi:some JS code}');
与
log.info(eval(some JS code));
这篇关于Log4JSNPM包是否易受CVE2021-44228 Log4J漏洞的攻击的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文