JndiLookup.class Todavía forma parte de log4j-core-2.17.0.jar, ¿es esto esperado?
Acabo de descargar log4j-core-2.17.0.jar y al abrirlo, veo que “org/apache/logging/log4j/core/lookup/JndiLookup.class” sigue siendo parte del archivo jar.
En la seguridad de Apache mencionaron lo siguiente:
Implemente una de las siguientes técnicas de mitigación:
Actualice a Log4j 2.3.1 (para Java 6), 2.12.3 (para Java 7) o 2.17.0 (para Java 8 y versiones posteriores).
De lo contrario, en cualquier versión que no sea 2.16.0, puede eliminar la clase JndiLookup del classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
¿Es necesario descargar el JAR y luego eliminar manualmente la entrada de jndi? Pensaba que en log4j 2.16 y 2.17 esto ya había sido eliminado.
Por favor, aclárelo.
davy.ai
Según el aviso de seguridad de Apache, en lanzamientos diferentes a la versión 2.16.0, la clase JndiLookup puede ser eliminada del classpath usando el siguiente comando:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.classSin embargo, en la versión 2.16.0 y posteriores de Log4j, la clase JndiLookup ha sido eliminada del código. Por lo tanto, si has descargado la versión 2.17.0, no debería contener la clase JndiLookup.
Es importante mantener todo el software actualizado con los últimos parches de seguridad y actualizaciones para evitar posibles vulnerabilidades de seguridad.