自动化安全工具仍然将安全版本的Log4j标记为不安全

栏目:时讯快报    来源:IT之家    阅读量:8256   作者:李陈默    发布时间:2022-02-15 01:57   

,JetBrains 最近几天在官方博客宣布,将从IntelliJ 平台移除 Log4j 组件,一部分原因是之前的重大漏洞事件。

自动化安全工具仍然将安全版本的Log4j标记为不安全

据介绍,基于 IntelliJ 平台的 IDE 不受此漏洞的影响,因为使用了 Log4j 1.2 的修补版本,并删除了所有与网络相关的代码尽管如此,一些自动化安全工具仍然将安全版本的 Log4j 标记为不安全

同时,IntelliJ 平台对日志框架的要求相当低,可以包含在作为 JDK 一部分的标准日志 API中为了避免错误的安全警报并减少潜在的攻击面,JetBrains决定完全停止使用 Log4j,并切换到 java.util.logging 作为标准日志框架

本站了解到,更改将在 2022.1 版本中发布由于大量第三方插件使用 Log4j,JetBrains将发布 Log4j API 的默认实现,将日志输出重定向到 java.util.logging,这一功能来自 SLF4J 项目但是,默认实现并没有完全实现所有方法,因此为了保持插件的全部功能,开发者可能需要调整代码以适应新环境

修改后的客户端和第三方启动器可能不会自动更新。在这些情况下,Mojang建议玩家遵循第三方提供商的建议。如果第三方供应商没有修补漏洞,或者没有声明可以安全地游玩,你应该假设漏洞没有修复并且在玩游戏时有风险。

郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。

自动化安全工具仍然将安全版本的Log4j标记为不安全