log4j漏洞-侦察依赖性

kpbwa7wx  于 2022-11-06  发布在  其他
关注(0)|答案(1)|浏览(173)

我们听说log4j-core.jar很脆弱。
我们注意到,spring-cloud-starter-sleuth(版本2.2.2.RELEASE)依赖项带来了一个依赖项,该依赖项使用log4j-core.jar(版本2.13.0)和provided作用域,如下所示:

<dependency>
  <groupId>org.apache.logging.log4j</groupId>
  <artifactId>log4j-core</artifactId>
  <version>${log4j.version}</version>
  <scope>provided</scope>
</dependency>

产生log4j依赖关系的确切jar是:

<groupId>io.zipkin.brave</groupId>
<artifactId>brave-context-log4j2</artifactId>
<version>5.10.1</version>

我们没有在代码或配置中使用Zipkin,只是使用了Sleuth。
我们的代码是否易受攻击?

hlswsv35

hlswsv351#

Spring Cloud Sleuth 2.x不再受支持,正如M.代努姆所提到的,由于provided的作用域,Sleuth将不会为您带来这些依赖项。您可以通过运行gradlew dependenciesmvn dependency:tree来测试这一点。

相关问题