在探讨slf4j-log4j12的漏洞情况时,我们需要明确的是,slf4j-log4j12本身并不包含漏洞,但它所依赖的Log4j 1.2版本可能存在漏洞。然而,就近期被广泛关注的Apache Log4j 2的远程代码执行漏洞(CVE-2021-44228)而言,该漏洞并不影响slf4j-log4j12,因为slf4j-log4j12绑定的是Log4j 1.2,而不是Log4j 2。
log4j 1.x 相对于 CVE-2021-44228 是安全的。因此,如果您的 SLF4J 提供程序/绑定是 slf4j-log4j12.jar,那么您对 CVE-2021-44228 是安全的。 如果您将 log4j-over-slf4j.jar 与 SLF4J API 结合使用,那么您是安全的,除非底层实现是 log4j 2.x。 检查这个 - http://slf4j.org/log4shell.html 原文由 ...
从外部库中删除所有的slf4j库,然后在pom.xml中重新配置即可 <dependency> <groupId>org.slf4j</...
而我自己的项目用的是log4j,这时就需要 org.slf4j:slf4j-log4j12 作为中间包,是的xxx框架的slf4j...
slf4j-log4j12.jar 将slf4j的日志桥接到log4j 1.2 slf4j-reload4j.jar 将slf4j日志桥接到 reload4j。 (reload4j是 log4j 1.2 安全漏洞修订版本,log4j1.2 官方从 1.2.6不再维护了,安全漏洞也就没有再维护了。 但有的项目仍然要使用log4j1.2,所以就 slf4j团队接管了,改名为reload4j ) ...
老哥,你能解释一下这个漏洞 对 Lombok 有什么影响吗?据我所知,log4j 只是在运行测试时不出现编译错误时才需要。 这个老哥明显是对 Lombok 比较了解的,他其实已经指出关键的地方了:Lombok 并没有依赖 log4j。 但是紧接着有人指出: Lombok 提供了一个注解,叫做 @log4j。这玩意使用了 Log4J 的库吧,毕竟要用它记...
接国家网络与信息安全信息通报中心预警,开源Java开发组件fastjson存在反序列化漏洞。攻击者可利用上述漏洞...
38% 采用 Apache Log4j 库的应用程序使用的是存在安全问题的版本,其中包括 Log4Shell 漏洞,该漏洞被...
首先需要加入log4j的依赖,注意2.17.1以下的版本会有远程代码执行的安全漏洞,具体参考Apache官方文档(https://logging.apache.org/log4j/2.x/security.html)。推荐使用最新的版本。 <dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.17.2</version></dependency...
slf4j是日志框架的标准接口, log4j-api是log4j日志框架的接口, log4j-to-slf4j是log4j适配sl4j接口的...