我使用 Springboot。 spring-boot-starter-data-jpa 依赖于 log4j。它脆弱吗?
Posted
技术标签:
【中文标题】我使用 Springboot。 spring-boot-starter-data-jpa 依赖于 log4j。它脆弱吗?【英文标题】:I use Springboot. spring-boot-starter-data-jpa depends on log4j. Is it vulnerable? 【发布时间】:2022-01-24 04:14:08 【问题描述】:谢谢。
我使用 Springboot 和 gradle。 spring-boot-starter-data-jpa 依赖于 log4j。 是否易受攻击?
build.gradle
dependencies
compile('org.springframework.boot:spring-boot-starter-data-jpa:2.6.2')
我没有更改 application.properties 中的日志输出设置。
如果它不是易受攻击的,我想要那个来源。
【问题讨论】:
【参考方案1】:Spring Boot 不依赖于可能存在漏洞的log4j-core。仅在不受最近 CVE 影响的 log4j 工件 log4j-to-slf4j 和 log4j-api 上:
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
此外,Spring Boot 2.6.2 引入了 logback (1.2.9) 和 log4j (2.17.0) 的最新版本,其中包含对最近发布的 CVE 的修复:
https://github.com/spring-projects/spring-boot/releases/tag/v2.6.2
【讨论】:
以上是关于我使用 Springboot。 spring-boot-starter-data-jpa 依赖于 log4j。它脆弱吗?的主要内容,如果未能解决你的问题,请参考以下文章