我已經實作了一個 POC 并使用了 slf4j 進行日志記錄。log4j 中的零日漏洞問題,是否也影響了 slf4j 日志?
uj5u.com熱心網友回復:
這取決于。Slf4j 只是一個 api,可以在其任何實作后面使用,log4j 只是一個。檢查背面使用的是哪個,如果這是 log4j 和 2.15.0 之前的版本(有修復的那個),你應該更新它(如果它直接或間接暴露給用戶)
uj5u.com熱心網友回復:
<!-- slf4j on log4j -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.32</version>
</dependency>
<!-- bridge between commons logging and slf4j -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>jcl-over-slf4j</artifactId>
<version>1.7.32</version>
</dependency>
我的 spring 專案是否受到 log4j 中的漏洞問題的影響?
如果答案是正確的?
我該如何修改?
uj5u.com熱心網友回復:
取決于 SLF4J 的底層實作。log4j 1.x 相對于 CVE-2021-44228 是安全的。因此,如果您的 SLF4J 提供程式/系結是 slf4j-log4j12.jar,那么您對 ??CVE-2021-44228 是安全的。
如果您將 log4j-over-slf4j.jar 與 SLF4J API 結合使用,則除非底層實作是 log4j 2.x,否則您是安全的。
檢查這個 - http://slf4j.org/log4shell.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/381655.html
上一篇:CodeQL掃描JAR檔案