在log4j零日漏洞之后,我们开始查看是否有更多的工件正在使用slf 4J或更低版本的log4j。通过检查mvn依赖关系树,我们发现spring-security-saml 2-core正在使用slf 4j,我们尝试将其从工件中排除。但是,我们收到了以下运行时异常:-java.lang.NoClassDefFoundError:如果您有任何问题,请与我们联系。如果您有任何问题,请与我们联系。
nfzehxib1#
如果您指的是CVE-2021-44228漏洞(aka. Log 4Shell),则Slf 4J不是易受攻击的库,因此您不必排除它。对于版本2到2.15.0之前的版本,只有Log4j-core受此特定漏洞影响。请参阅https://nvd.nist.gov/vuln/detail/CVE-2021-44228正如@eray-tufay所指出的,目前还有其他已知的漏洞(许多漏洞可能还在等待被发现),他举了一个例子https://cve.report/CVE-2021-4104:请注意,此问题仅在专门配置为使用JMSAppender(这不是缺省设置)时才会影响Log4j 1.2
1条答案
按热度按时间nfzehxib1#
如果您指的是CVE-2021-44228漏洞(aka. Log 4Shell),则Slf 4J不是易受攻击的库,因此您不必排除它。对于版本2到2.15.0之前的版本,只有Log4j-core受此特定漏洞影响。请参阅https://nvd.nist.gov/vuln/detail/CVE-2021-44228
正如@eray-tufay所指出的,目前还有其他已知的漏洞(许多漏洞可能还在等待被发现),他举了一个例子https://cve.report/CVE-2021-4104:
请注意,此问题仅在专门配置为使用JMSAppender(这不是缺省设置)时才会影响Log4j 1.2