web-dev-qa-db-fra.com

Comment remplacer / mettre à jour log4j pour artefactory?

Je suis sûr que vos gars sont tous conscients de la situation Log4J, y a-t-il des instructions pour remplacer/mettre à niveau le module log4j pour Jfrog?

Merci,

2
erv2

Voici la réponse formelle de Jfrog: Suite à la recherche interne et à la validation des équipes Jfrog Security et de R & D, nous pouvons confirmer que les services JFROG ne sont pas affectés par la vulnérabilité Apache Log4J récemment publiée (CVE-2021-44228). Premièrement, nous avons validé que Jfrog Services ne soit pas configuré pour utiliser le package Log4J-Core. De plus, nous pouvons confirmer que la version JDK utilisée dans l'artefactory contient une protection par défaut contre le chargement de la classe à distance via des objets JNDI. Donc, aucune action n'est requise par les clients JFrog concernant ce numéro pour les solutions Jfrog.

Jfrog Security et Xray Les équipes de produits ont mis à jour de manière proactive la base de données Xray avec CVE Informations sur cette vulnérabilité, et ces informations seront disponibles pour les clients XRAY dans les 24 heures pour faciliter la détection et la correction des portefeuilles de la clientèle.

Disclaimer, je travaille chez Jfrog

3
Ariel