Hibernate Jboss 日志记录和 Log4j CVE 漏洞答案

【问题标题】：Hibernate Jboss logging and Log4j CVE VulnerabilityHibernate Jboss 日志记录和 Log4j CVE 漏洞
【发布时间】：2022-01-20 05:39:16
【问题描述】：

我正在开发一个 Spring Boot 项目，我正在检查它是否与此漏洞有关，
我没有任何 Log4j 核心依赖项，
但我使用的是休眠核心 5.0.12，它使用 jboss 日志记录 3.3.1
当我检查 jboss 日志记录依赖项时，我看到了 log4j：
1.2.16
2.0
而且我没有为我的日志使用 jboss 登录，我使用的是 Slf4j，
那么，我应该从我的项目中排除这个 jboss 日志记录依赖项吗？

提前谢谢你

【问题讨论】：

标签： java spring-boot hibernate jboss

【解决方案1】：

不，您不需要排除 jboss 日志记录（没有它，hibernate 甚至可以工作吗？）。如果您没有 log4j-core 作为依赖项，则不会受到影响。另见https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

【讨论】：

感谢您的回答，我已经检查了 apache 官方网站，这就是我发现的关于 log4j 1 的内容：“已针对 Log4j 1.Log4j 识别出一个安全漏洞，CVE-2019-17571。包括一个接受序列化日志事件并反序列化它们而不验证对象是否被允许的 SocketServer。这可以提供可以利用的攻击向量。由于不再维护 Log4j 1，此问题将不会得到修复。敦促用户升级到 Log4j 2。”
我仍然很困惑，因为我没有使用 log4j 核心，我们的安全团队说如果我们有 jboss-logmanager 依赖项，我们会担心这个漏洞，因为 jboss 依赖项正在使用已过时的 log4j 版本 1
Log4j 1.x 不受 CVE-2021-44228 影响，但受 CVE-2021-4104 影响，因此您应该查看日志记录属性或从 log4j 中删除 JMSAppender 类1.x 依赖，这里解释：access.redhat.com/security/cve/CVE-2021-4104
jboss-logging 只是一个日志外观。它绝对不会暴露任何 CVE。 jboss-logmanager 是一个日志管理器，也没有这个 CVE。它根本不使用 log4j 1 或 2。
是的，但是当我检查 Jboss pom.xml 时，我发现 log4j 1 存在一些依赖关系，就像我说的那样，我们的安全团队说我们需要升级到log4j 2.17，我不知道在这种情况下我怎么能做到，因为我没有直接使用它，它被 hibernate 使用