CVE-2021-44228 + slf4j + 公共日志记录

CVE-2021-44228 + slf4j + common-logging

我在我的项目中使用了 slf4j :

implementation "org.slf4j:slf4j-api:${versions.slf4japi}"  (1.7.32)
implementation "org.slf4j:slf4j-simple:${versions.slf4jsimple}"  (1.7.32)

我真的很困惑,因为我的项目中没有 log4j-1.2。17.jar 但在公共日志记录中我有这个依赖项:

<dependency>
  <groupId>log4j</groupId>
  <artifactId>log4j</artifactId>
  <version>1.2.17</version>
  <optional>true</optional>
</dependency>

我知道他们做了一个 statement,我几乎可以肯定我的项目有问题,但我不知道如何修复它!任何帮助将不胜感激

首先,如您链接的 SLF4J post 中所述,Log4j 1 不受 CVE-2021-44228 的影响(但已停产并受其他漏洞影响)。此外,它被标记为 optional 依赖项,因此当您依赖 common-logging 时默认情况下不包括在内,请参阅 POM Reference and Introduction to the Dependency Mechanism,其中也提到了这一点:

It may be helpful to think of optional dependencies as "excluded by default."