我们听说log4j-core.jar
很脆弱。
我们注意到,spring-cloud-starter-sleuth
(版本2.2.2.RELEASE)依赖项带来了一个依赖项,该依赖项使用log4j-core.jar
(版本2.13.0)和provided
作用域,如下所示:
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>${log4j.version}</version>
<scope>provided</scope>
</dependency>
产生log4j依赖关系的确切jar是:
<groupId>io.zipkin.brave</groupId>
<artifactId>brave-context-log4j2</artifactId>
<version>5.10.1</version>
我们没有在代码或配置中使用Zipkin,只是使用了Sleuth。
我们的代码是否易受攻击?
1条答案
按热度按时间hlswsv351#
Spring Cloud Sleuth 2.x不再受支持,正如M.代努姆所提到的,由于
provided
的作用域,Sleuth将不会为您带来这些依赖项。您可以通过运行gradlew dependencies
或mvn dependency:tree
来测试这一点。