问题：应用补丁后，某些安全扫描程序可能会继续在 ArcGIS Pro 中检测 Log4j

描述

ArcGIS Pro 中的 Log4j 1.2.x 漏洞已在以下补丁中得到缓解。虽然漏洞得到缓解，但一些安全扫描程序可能会在应用这些补丁之一后继续检测 log4j。本文概述了为什么有可能继续检测到 log4j。

* ArcGIS Pro 补丁是累积的，因此每个版本的后续补丁，例如 2.7.7 还包括此修复。

原因

• 如果安全扫描程序配置不当、仅根据文件版本号检测易受攻击的组件，则在应用这些补丁后可能会检测到误报。  
• 所有 Log4j 1.2.x 组件都删除了易受攻击的类。 此补丁中包含缓解的 Log4j 1.2.x 组件。
• ArcGIS Pro 3.0 及更高版本将不包含 Log4j 1.2.x 组件。  
• 您可以使用验证工具（例如我们的跨产品 Log4j 公告中进一步描述的 Logpresso 的免费 Log4j 扫描工具）来确认您的文件已得到缓解。

解决方案或解决方法

解决了 Log4j 1.2.x 漏洞

ArcGIS Pro 补丁中解决了以下 CVE：

• CVE- 2021-4104–Log4j 1.2 JMSAppender 
• CVE-2019-17571–Log4j 1.2 SocketServer 
• CVE-2020-9488–Log4j 1.2 SMTPAppender
• CVE-2022-23305– Log4j 1.2.x JDBCAppender
• CVE-2022-23302–Log4j 1.2.x JMSSink
• CVE-2022-23307–Log4j 1.2.x Chainsaw
• CVE-2017-5645–Log4j 1.2 SocketAppender 

要详细了解 Esri 如何解决所有产品问题，请参阅 Log4j 漏洞博客。 如有任何问题，请联系 Esri 支持。