Gradle 依赖(org.apache.commons)是否也受到当前 log4j 漏洞的影响?

【问题标题】:Gradle dependency (org.apache.commons ) is also effected by current log4j vulnerability or not?Gradle 依赖(org.apache.commons)是否也受到当前 log4j 漏洞的影响?
【发布时间】:2022-01-15 18:18:54
【问题描述】:

目前 Log4j 日志框架中出现了一个漏洞。但是在我们的项目中,我们没有直接使用 log4j 依赖。我们通过 org.apache.common 使用 log4j。那么问题是它会受到影响吗?

【问题讨论】:

  • 如果临时 log4j 依赖项是易受攻击的并且您使用它并且 log4j 以易受攻击的方式配置并且使用旧的 java 版本,是的。

标签: java spring-boot security logging log4j


【解决方案1】:

检查类路径是否包含类JndiLookup。 正如this文章所建议的那样

替换类 org.apache.logging.log4j.core.lookup.JndiLookup 的非易受攻击或空实现,以使您的类加载器使用您的替换而不是类的易受攻击版本。请参阅您的应用程序或堆栈的类加载文档以了解此行为。

【讨论】:

    【解决方案2】:

    使用 Apache Commons Logging 时,您仍然需要提供特定的日志系统供 Apache Commons Logging 使用。如果该特定系统恰好是 Log4j(显式或隐式提供,因为它是 Apache Commons Logging 的主要默认设置),您应该假设您的项目受到该漏洞的影响,并将您的 log4j 依赖项更新为修补版本或使用不同的日志记录系统。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2022-01-15
      • 1970-01-01
      • 2022-01-16
      • 2022-01-18
      • 2022-01-21
      • 2022-01-18
      • 2018-08-07
      • 2022-11-11
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode