[英]Log4j2 vulnerability and Lombok annotation @log4j2
我们使用 spring boot 2.1.5 和 starter parent 作为 pom 依赖项。
Spring 引导使用默认的 logback 进行日志记录,我们没有明确切换到 Log4j2 或更改任何配置。 下面是我们的项目依赖树。
我们的项目中有很多 lombok @log4j2 注释。 但是,我们在依赖树中发现我们没有任何 log4j2-core jar 依赖项(已发现容易受到 log4j 最近问题的影响)。
@Log4j2
@Service
@DependsOn("applicationDependencyCheck")
lombok @log4j2 是否不依赖于 log4j2-core.jar。 假设这会出现在 maven 依赖树中是正确的还是我们遗漏了什么。
这是我们的 lombok 条目 -
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
请分享一些见解。
谢谢
在 lombok 文档中,您可以在此处找到它https://projectlombok.org/api/lombok/extern/log4j/Log4j2.html
@Log4j2 public class LogExample { }
将产生:
public class LogExample { private static final org.apache.logging.log4j.Logger log = org.apache.logging.log4j.LogManager.getLogger(LogExample.class); }
这两个类都存在于 log4j API jar
这里没有列出已知漏洞
As described here https://logging.apache.org/log4j/2.x/log4j-api/index.html log4j api is just an interface.
我认为在这种情况下,您的代码不依赖于 log4j 内核。 您可以仔细检查构建的 output(例如 maven /target 文件夹,war 文件等)
Lombok @Log4j2 注释不适用于最新版本的 log4j (v2.15.0)
[英]Lombok @Log4j2 annotation doesn't work with latest version of log4j (v2.15.0)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.