我已经实现了一个概念验证,并使用了slf4j进行日志记录。log4j中的零日漏洞问题,是否也会影响slf4j日志记录?
取决于SLF4J的底层实现。 对于CVE-2021-44228,log4j 1.x是安全的。因此,如果您的SLF4J提供程序/绑定是slf4j-log4j12.jar,则不会存在安全问题。
如果您正在使用log4j-over-slf4j.jar与SLF4J API结合使用,除非底层实现是log4j 2.x,否则是安全的。
这要看情况。Slf4j只是一个API,可以在任何其实现后面使用,log4j仅仅是其中的一个。查看使用的底层实现,如果是log4j,并且版本在2.0.0至2.15.0之间(2.15.0是带有修复的版本,1.x版本不受影响),则应进行更新(如果直接或间接地向用户公开)。
[1.7.26)、[1.8.0-alpha0,1.8.0-beta2) 存在漏洞。请访问 https://snyk.io/vuln/maven:org.slf4j:slf4j-ext 获取详细信息。