0

我们正在尝试缓解我们应用程序中的最新 log4j 漏洞我们的扫描显示jetty-hightide-7.6.1.v20120215/webapps/cometd.war正在使用较旧版本的 log4j,即 log4j.1 需要帮助来缓解这种情况.

我们可以从 webapps 中删除它吗?

4

1 回答 1

1

您对 jetty-hightide-7.6.1.v20120215 的使用存在的漏洞远多于 cometd。

码头 7.x

Jetty 7.x 早在 2014 年就被宣布为 EOL(生命终结)。

https://www.eclipse.org/jetty/security_reports.php

Log4j 1.x

Log4j 1.x 早在 2015 年就宣布 EOL。

https://logging.apache.org/log4j/1.2/

除了 10 年的安全更新外,您的古老码头高潮档案中还有以下其他项目。

  • 对象网络 asm 3.1
  • javax.annotations 1.1
  • 德比 10.6
  • javax.activation 1.1
  • 玻璃鱼邮件 1.4
  • 太阳埃尔 1.0
  • javax.el 2.1
  • jstl 1.2
  • jsp 2.1
  • glassfish碧玉2.1
  • glassfish 标签库 1.2
  • 日食 jdt 3.7
  • javax.transactions 1.1
  • atomikos 3.7
  • jna 3.2.2
  • setuid 本机 7.6
  • 弹簧框架2.5
  • 彗星 2.4.0.RC3
  • 杰克逊 1.9
  • 日志4j 1.2
  • 贝叶 2.4
  • 道场 1.7
  • dojox 1.7
  • 十字星 1.7
  • jQuery 1.6

上面列出的每一项在过去 10 年中都有与之相关的安全漏洞,每一项都需要进行评估。(许多漏洞实际上非常严重,与您专门追逐的 log4j 相当)

于 2022-01-28T13:35:58.683 回答