[英]Log4j2 vulnerability and Lombok annotation @log4j2
我們使用 spring boot 2.1.5 和 starter parent 作為 pom 依賴項。
Spring 引導使用默認的 logback 進行日志記錄,我們沒有明確切換到 Log4j2 或更改任何配置。 下面是我們的項目依賴樹。
我們的項目中有很多 lombok @log4j2 注釋。 但是,我們在依賴樹中發現我們沒有任何 log4j2-core jar 依賴項(已發現容易受到 log4j 最近問題的影響)。
@Log4j2
@Service
@DependsOn("applicationDependencyCheck")
lombok @log4j2 是否不依賴於 log4j2-core.jar。 假設這會出現在 maven 依賴樹中是正確的還是我們遺漏了什么。
這是我們的 lombok 條目 -
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
請分享一些見解。
謝謝
在 lombok 文檔中,您可以在此處找到它https://projectlombok.org/api/lombok/extern/log4j/Log4j2.html
@Log4j2 public class LogExample { }
將產生:
public class LogExample { private static final org.apache.logging.log4j.Logger log = org.apache.logging.log4j.LogManager.getLogger(LogExample.class); }
這兩個類都存在於 log4j API jar
這里沒有列出已知漏洞
As described here https://logging.apache.org/log4j/2.x/log4j-api/index.html log4j api is just an interface.
我認為在這種情況下,您的代碼不依賴於 log4j 內核。 您可以仔細檢查構建的 output(例如 maven /target 文件夾,war 文件等)
Lombok @Log4j2 注釋不適用於最新版本的 log4j (v2.15.0)
[英]Lombok @Log4j2 annotation doesn't work with latest version of log4j (v2.15.0)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.