CVE-2021-44228 + slf4j + 公共日志记录
CVE-2021-44228 + slf4j + common-logging
我在我的项目中使用了 slf4j :
implementation "org.slf4j:slf4j-api:${versions.slf4japi}" (1.7.32)
implementation "org.slf4j:slf4j-simple:${versions.slf4jsimple}" (1.7.32)
我真的很困惑,因为我的项目中没有 log4j-1.2。17.jar 但在公共日志记录中我有这个依赖项:
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
<optional>true</optional>
</dependency>
我知道他们做了一个 statement,我几乎可以肯定我的项目有问题,但我不知道如何修复它!任何帮助将不胜感激
首先,如您链接的 SLF4J post 中所述,Log4j 1 不受 CVE-2021-44228 的影响(但已停产并受其他漏洞影响)。此外,它被标记为 optional 依赖项,因此当您依赖 common-logging 时默认情况下不包括在内,请参阅 POM Reference and Introduction to the Dependency Mechanism,其中也提到了这一点:
It may be helpful to think of optional dependencies as "excluded by default."
我在我的项目中使用了 slf4j :
implementation "org.slf4j:slf4j-api:${versions.slf4japi}" (1.7.32)
implementation "org.slf4j:slf4j-simple:${versions.slf4jsimple}" (1.7.32)
我真的很困惑,因为我的项目中没有 log4j-1.2。17.jar 但在公共日志记录中我有这个依赖项:
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
<optional>true</optional>
</dependency>
我知道他们做了一个 statement,我几乎可以肯定我的项目有问题,但我不知道如何修复它!任何帮助将不胜感激
首先,如您链接的 SLF4J post 中所述,Log4j 1 不受 CVE-2021-44228 的影响(但已停产并受其他漏洞影响)。此外,它被标记为 optional 依赖项,因此当您依赖 common-logging 时默认情况下不包括在内,请参阅 POM Reference and Introduction to the Dependency Mechanism,其中也提到了这一点:
It may be helpful to think of optional dependencies as "excluded by default."