我已经实现了一个概念验证,并使用了slf4j进行日志记录。log4j中的零日漏洞问题,是否也会影响slf4j日志记录?
4个回答
12
取决于SLF4J的底层实现。 对于CVE-2021-44228,log4j 1.x是安全的。因此,如果您的SLF4J提供程序/绑定是slf4j-log4j12.jar,则不会存在安全问题。
如果您正在使用log4j-over-slf4j.jar与SLF4J API结合使用,除非底层实现是log4j 2.x,否则是安全的。
- Shweta Priyadarshani
7
2如何知道底层实现的版本? - tryingToLearn
2请告诉我如何知道底层的实现方式? - Vaibhav Sharma
你需要使用其他日志记录库,如Logback或Log4j来记录应用程序日志。仅使用slf4j将不会生成日志。因此,你需要在pom文件中添加log4j或SLF4j的任何其他实现。确保的事情是不要使用易受攻击的Log4j版本。 - Shweta Priyadarshani
1如果您正在使用Maven,请尝试运行"mvn dependency:tree | grep log4j"或检查pom.xml文件。 - 2sb
3@tryingToLearn 是的,Slf4j 原生支持 logback,恭喜您的应用程序是安全的 :) - 2sb
显示剩余2条评论
5
这要看情况。Slf4j只是一个API,可以在任何其实现后面使用,log4j仅仅是其中的一个。查看使用的底层实现,如果是log4j,并且版本在2.0.0至2.15.0之间(2.15.0是带有修复的版本,1.x版本不受影响),则应进行更新(如果直接或间接地向用户公开)。
- gmanjon
0
根据Apache的说法,“仅log4j-core JAR文件受此漏洞的影响。仅使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不受此漏洞的影响。
此外,只有Apache Log4j是受此漏洞影响的日志服务子项目。其他项目如Log4net和Log4cxx不受此影响。”
所以,只要您不使用log4j-core包,就应该是安全的。
所以,只要您不使用log4j-core包,就应该是安全的。
- Simoun
0
[1.7.26)、[1.8.0-alpha0,1.8.0-beta2) 存在漏洞。请访问 https://snyk.io/vuln/maven:org.slf4j:slf4j-ext 获取详细信息。
- Pratik
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 3 Log4j 在 slf4j LoggerContext 上报 ClassCastException 的问题
- 3 通过slf4j配置log4j
- 3 slf4j 2.0.0-alpha7 是否兼容 log4j 2.17.2?
- 4 R-Package h2o受log4j漏洞影响吗?(以及如何解决)
- 42 Logback是否也受到Spring Boot中Log4j零日漏洞问题的影响?
- 11 Log4j 2 SLF4J Binding 和 Log4j 2 to SLF4J Adapter 有什么区别?
- 49 Log4j被放弃,而Slf4j受到青睐吗?
- 8 AWS的负载均衡服务是否受到SSL“心脏出血”漏洞的影响?
- 61 Log4j漏洞 - Log4j 1.2.17是否存在漏洞(源代码中未发现任何JNDI代码)?
- 9 WildFly是否受log4j 2漏洞CVE-2021-44228的影响?