LOG4J漏洞和JETBRINES MARKET上的第三方插件
在远程代码执行之后CVE-2021-44228流行的Java日志记录库Log4j中的漏洞,我们一直在通过JetBrains Marketplace分发的第三方插件。
由于有多少基于Intellij的插件,我们最初使用API观察者检查哪些插件以及其精确版本中的哪一个从Log4j中使用任何内容。我们暂时隐藏了所有插件版本,我们检测到任何使用log4j。
我们明白这样的支票可以产生一些误报。但是,我们宁愿效果额外保险,并引起许多插件作者对潜在风险的关注,而不是错过具有重新包装LOG4J的某些插件。
我们对标记插件进行了额外的审核,并已重新列出每个插件版本。如果您有任何问题,请在Marketplace@jetbrains.com上联系我们。
我们将继续扫描插件,JetBrinains和第三方,并采取所有必要的行动来缓解log4j漏洞。
