我使用 Springboot。 spring-boot-starter-data-jpa 依赖于 log4j。它脆弱吗?

Posted

技术标签:

【中文标题】我使用 Springboot。 spring-boot-starter-data-jpa 依赖于 log4j。它脆弱吗?【英文标题】:I use Springboot. spring-boot-starter-data-jpa depends on log4j. Is it vulnerable? 【发布时间】:2022-01-24 04:14:08 【问题描述】:

谢谢。

我使用 Springboot 和 gradle。 spring-boot-starter-data-jpa 依赖于 log4j。 是否易受攻击?

build.gradle

dependencies 
    compile('org.springframework.boot:spring-boot-starter-data-jpa:2.6.2')

我没有更改 application.properties 中的日志输出设置。

如果它不是易受攻击的,我想要那个来源。

【问题讨论】:

【参考方案1】:

Spring Boot 不依赖于可能存在漏洞的log4j-core。仅在不受最近 CVE 影响的 log4j 工件 log4j-to-slf4jlog4j-api 上:

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

此外,Spring Boot 2.6.2 引入了 logback (1.2.9) 和 log4j (2.17.0) 的最新版本,其中包含对最近发布的 CVE 的修复:

https://github.com/spring-projects/spring-boot/releases/tag/v2.6.2

【讨论】:

以上是关于我使用 Springboot。 spring-boot-starter-data-jpa 依赖于 log4j。它脆弱吗?的主要内容,如果未能解决你的问题,请参考以下文章

如何配置 springboot

SpringBoot整合MongoDb

SpringSecurity整合SpringBoot

FastDFS整合SpringBoot

Apollo整合SpringBoot开发

通过maven创建springboot项目