鑒于 Log4J 2.x 存在一個主要的遠程代碼執行漏洞(檢查漏洞),我開始查看我的專案依賴項,看看我是否通過例如 slf4j 使用 Log4J,幸運的是我沒有。
但是我通過spring-boot-starter-data-mongodb. 該軟體包的最新版本是在2021年11 月生成的,因此該問題并未在那里得到緩解。
我如何擺脫依賴而不擺脫,spring-boot-starter-data-mongodb因為我非常依賴它。
? mvn dependency:tree | grep -B 5 log4j
[INFO] - org.springframework.boot:spring-boot-starter-data-mongodb:jar:2.2.5.RELEASE:compile
[INFO] | - org.springframework.boot:spring-boot-starter:jar:2.2.5.RELEASE:compile
[INFO] | | - org.springframework.boot:spring-boot-starter-logging:jar:2.2.5.RELEASE:compile
[INFO] | | | - ch.qos.logback:logback-classic:jar:1.2.3:compile
[INFO] | | | | \- ch.qos.logback:logback-core:jar:1.2.3:compile
[INFO] | | | - org.apache.logging.log4j:log4j-to-slf4j:jar:2.12.1:compile
[INFO] | | | | \- org.apache.logging.log4j:log4j-api:jar:2.12.1:compile
uj5u.com熱心網友回復:
根據Spring blog,您不需要:
我們包含在其中的
log4j-to-slf4j和log4j-apijarspring-boot-starter-logging不能被單獨利用。只有log4j-core在日志訊息中使用和包含用戶輸入的應用程式容易受到攻擊。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/386417.html
標籤:春天 弹簧靴 行家 日志4j spring-mongodb
上一篇:如何找到Log4j的深層用法
下一篇:無法找到log4jjar父依賴項