KB0008356-关于漏洞CVE-2019-17571对于司印的影响说明

问题描述：漏洞分析 该漏洞是一个针对log4j1.2.17以下版本的反序列化漏洞，产生该漏洞的前提是使用了Log4j的SocketServer功能。 而Log4j的SocketServer是用于提供远程日志功能，通过在Log配置文件中配置SocketAppender以及侦听的TCP端口可以启用该功能。 对司印影响 在司印中log4j只是用来记录本地文件日志，在司印软件任何版本任何模块中都没有启用该远程日志功能。 即使所用司印版本包含了受漏洞影响的log4j版本，但在任何版本的司印环境下该漏洞不会涉及，也无法利用。

解决方案：如前文分析，由于司印不使用log4j的远程日志功能，因此该漏洞在任何司印版本下都无需修复。 虽然漏洞不受影响，如果依然期望升级司印所使用的log4j版本： 司印2.7.x版本：鉴于该大版本的三方组件很多都依赖log4j 1.2.x，而1.2.17已经是log4j 1.2的最新版本，因此除非升级司印大版本到V3.X否则已经无法继续升级log4j版本。 司印3.0.x.x – 3.1.x.x版本： 可以升级司印到3.2.x.x或更新版本，然后可以升级最新版本的log4j 2.x.x。

具体信息请参考以下附件文件。