全部评论（2）

评论（2）

• 【云声小管家】 思雨 2021-12-16 11:20:30

  一、log4j2受漏洞影响版本：Apache Log4j 2.x <= 2.14.1 如果log4j2版本无法快速升级，可以采取以下措施进行缓解：
  1. 禁止非必要的业务访问外网 2. 设置jvm参数 “-Dlog4j
  2.formatMsgNoLookups=true”
  3. 设置“log4j2.formatMsgNoLookups=True”
  4. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

  删除
• 【云声小管家】 思雨 2021-12-16 11:15:44

  非常抱歉给您带来这么多不便，关于您提交的建议产品和研发团队进行了评估，关于Log4j2Log4j RCE漏洞的说明：
  OBS Java SDK： OBS Java SDK不包含log4j2库； 鉴于Log4j2库依旧在更新版本，为了避免多次升级Log4j2库版本可能带来的兼容性风险，OBS Java SDK建议优先采用附录中提供的缓解措施进行快速规避，待Log4j2最终解决问题版本发布后再视情况选择升级Log4j2版本； OBS Java SDK 3.19.5及以后的版本均兼容log4j2库2.15.0、2.16.0 版本。 OBS服务： OBS服务具备严格网络隔离，不受漏洞影响。
  
  对您造成困扰深表歉意！希望以上可以解决您的疑虑，感谢您的反馈，若在使用还有其它建议，可在云声平台继续反馈，我们收到后会尽快处理。感谢您对华为云的支持！

  删除