slf4j 是否受到 log4j 中的漏洞問題的影響
[英]Was slf4j affected with vulnerability issue in log4j
問題描述
我已經實現了一個 POC 並使用 slf4j 進行日志記錄。 log4j 中的零日漏洞問題是否也影響了 slf4j 日志?
4 個解決方案
解決方案1
1 2021-12-14 17:51:36
這取決於。 Slf4j 只是一個 api,可以在其任何實現之后使用,log4j 只是一個。 檢查背面使用的是哪一個,如果這是 log4j 和 2.15.0 之前的版本(有修復的那個),您應該更新它(如果它直接或間接暴露給用戶)
解決方案2
0 2021-12-15 05:53:42
<!-- slf4j on log4j -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.32</version>
</dependency>
<!-- bridge between commons logging and slf4j -->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>jcl-over-slf4j</artifactId>
<version>1.7.32</version>
</dependency>
我的 spring 項目是否受到 log4j 中的漏洞問題的影響?
如果答案是正確的?
我該如何修改它?
解決方案3
0 2021-12-15 07:20:50
取決於 SLF4J 的底層實現。 log4j 1.x 對於 CVE-2021-44228 是安全的。 因此,如果您的 SLF4J 提供程序/綁定是 slf4j-log4j12.jar,那么對於 CVE-2021-44228,您是安全的。
如果您將 log4j-over-slf4j.jar 與 SLF4J API 結合使用,則除非底層實現是 log4j 2,否則您是安全的。
解決方案4
0 2022-01-04 13:17:15
According to Apache , "only the log4j-core JAR file is impacted by this vulnerability. Applications using only the log4j-api JAR file without the log4j-core JAR file are not impacted by this vulnerability. Also Apache Log4j is the only Logging Services subproject受此漏洞影響。其他項目如 Log4net 和 Log4cxx 不受此影響。
所以你應該是安全的,只要你不使用 log4j-core package。
解決方案5
0 2022-01-13 05:18:26
[,1.7.26),[1.8.0-alpha0,1.8.0-beta2) 存在漏洞。 請點擊鏈接 https://snyk.io/vuln/maven:org.slf4j:slf4j-ext
Log4j slf4j無法正常工作
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.