【发布时间】:2021-12-14 00:17:34
【问题描述】:
这是关于在 log4j2 Java 日志包中发现的 0-day 漏洞利用 https://www.lunasec.io/docs/blog/log4j-zero-day/
以下是我的代码: pom.xml
<dependency>
<groupId>org.hibernate.orm</groupId>
<artifactId>hibernate-core</artifactId>
<version>6.0.0.Alpha7</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>org.hibernate</groupId>
<artifactId>hibernate-envers</artifactId>
<version>6.0.0.Alpha5</version>
</dependency>
<dependency>
<groupId>org.hibernate.validator</groupId>
<artifactId>hibernate-validator</artifactId>
<version>6.0.13.Final</version>
</dependency>
上述每个依赖都有一个内部依赖
<dependency>
<groupId>org.jboss.logging</groupId>
<artifactId>jboss-logging</artifactId>
</dependency>
而 jboss-logging 使用 log4j » log4j 1.2.16 org.apache.logging.log4j » log4j-api 2.11.2
如何更新 pom.xml 以使用 org.apache.logging.log4j » log4j-core 版本 :2.15.0 ?
任何帮助将不胜感激! 谢谢
【问题讨论】: