我正在使用 log4j 1.2.16。我在 maven selenium testng java 專案中使用它。我正在尋找不升級 log4j 版本的解決方案。請幫忙。
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.16</version>
</dependency>
uj5u.com熱心網友回復:
由于您使用的是 log4j 1,因此此處不存在特定漏洞。見http://slf4j.org/log4shell.html:
log4j 1.x 是否易受攻擊?由于 log4j 1.x 不提供查找機制,因此不會受到 CVE-2021-44228 的影響。但是,請注意,不再維護 log4j 1.x。因此,我們敦促您遷移到它的繼任者之一,例如 SLF4J 和 logback。不要耽誤太多時間進行遷移!鑒于 log4j 1.x 版的部署仍然非常廣泛,我們已經收到源源不斷的關于 log4j 1.x 版漏洞的問題。
由于 log4j 1.x 不提供查找機制,因此不會受到 CVE-2021-44228 的影響。
話雖如此,log4j 1.x 不再具有所有相關的安全隱患。因此,我們絕對敦促您盡早遷移到其后繼產品之一,例如 SLF4J/logback。但是不要等待幾個月就遷移!另請注意,存在用于自動遷移的工具。
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/379822.html