slf4j 是否受到 log4j 中漏洞问题的影响
Was slf4j affected with vulnerability issue in log4j
我已经实现了 POC 并使用 slf4j 进行日志记录。 log4j 中的零日漏洞问题,是否也影响了 slf4j 日志?
视情况而定。 Slf4j 只是一个 api,可以在它的任何实现后面使用,log4j 只是其中之一。检查后面使用的是哪一个,如果这是 log4j 并且版本介于 2.0.0 和 2.15.0 之间(2.15.0 是修复的那个,版本 1.x 不受影响)你应该更新它(如果直接或间接暴露给用户)
取决于 SLF4J 的底层实现。
log4j 1.x 对于 CVE-2021-44228 是安全的。因此,如果您的 SLF4J provider/binding 是 slf4j-log4j12.jar,那么您对 CVE-2021-44228.
是安全的
如果您将 log4j-over-slf4j.jar 与 SLF4J API 结合使用,那么您是安全的,除非底层实现是 log4j 2.x.
根据Apache,“只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受影响通过这个漏洞。
此外,Apache Log4j 是唯一受此漏洞影响的日志服务子项目。其他项目如 Log4net 和 Log4cxx 不受此影响。"
所以你应该是安全的,只要你不使用 log4j-core 包。
[1.7.26),[1.8.0-alpha0,1.8.0-beta2) 存在漏洞。请关注 link https://snyk.io/vuln/maven:org.slf4j:slf4j-ext
我已经实现了 POC 并使用 slf4j 进行日志记录。 log4j 中的零日漏洞问题,是否也影响了 slf4j 日志?
视情况而定。 Slf4j 只是一个 api,可以在它的任何实现后面使用,log4j 只是其中之一。检查后面使用的是哪一个,如果这是 log4j 并且版本介于 2.0.0 和 2.15.0 之间(2.15.0 是修复的那个,版本 1.x 不受影响)你应该更新它(如果直接或间接暴露给用户)
取决于 SLF4J 的底层实现。 log4j 1.x 对于 CVE-2021-44228 是安全的。因此,如果您的 SLF4J provider/binding 是 slf4j-log4j12.jar,那么您对 CVE-2021-44228.
是安全的如果您将 log4j-over-slf4j.jar 与 SLF4J API 结合使用,那么您是安全的,除非底层实现是 log4j 2.x.
根据Apache,“只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受影响通过这个漏洞。 此外,Apache Log4j 是唯一受此漏洞影响的日志服务子项目。其他项目如 Log4net 和 Log4cxx 不受此影响。"
所以你应该是安全的,只要你不使用 log4j-core 包。
[1.7.26),[1.8.0-alpha0,1.8.0-beta2) 存在漏洞。请关注 link https://snyk.io/vuln/maven:org.slf4j:slf4j-ext