[英]Gradle dependency (org.apache.commons ) is also effected by current log4j vulnerability or not?
目前 Log4j 日志框架中的一個漏洞已經發生。 但是在我們的項目中,我們沒有直接使用 log4j 依賴項。 我們通過 org.apache.common 使用 log4j。 所以問題是它會受到影響嗎?
使用 Apache Commons Logging 時,您仍然需要提供特定的日志系統供 Apache Commons Logging 使用。 If that specific system happens to be Log4j (either provided explicitly or implicitly because it's the primary default of Apache Commons Logging), you should assume that your project is affected by the vulnerability and update your log4j dependency to a patched version or use a different logging系統。
檢查類路徑是否包含 class JndiLookup 。 正如這篇文章所建議的那樣
Substitute a non-vulnerable or empty implementation of the class org.apache.logging.log4j.core.lookup.JndiLookup, in a way that your classloader uses your replacement instead of the vulnerable version of the class. 請參閱您的應用程序或堆棧的類加載文檔以了解此行為。
您可以通過使用找出傳遞依賴關系
gradle -q dependencyInsight --dependency org.apache.logging.log4j-core --configuration scm
如果你發現在依賴樹路徑中存在易受攻擊的版本,那么你需要采取行動。
在 gradle 傳遞依賴中檢測 Apache Log4j 漏洞存在
[英]Detecting Apache Log4j vulnerability presence in gradle transitive dependencies
無法解析org.apache.commons:commons-lang3:3.0對等方未通過身份驗證的gradle 2.2.1
[英]Could not resolve org.apache.commons:commons-lang3:3.0 peer not authenticated gradle 2.2.1
Java & Gradle & log4j NoClassDefFoundError: org/apache/logging/log4j/LogManager
[英]Java & Gradle & log4j NoClassDefFoundError: org/apache/logging/log4j/LogManager
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.