【发布时间】:2021-12-14 17:36:04
【问题描述】:
我已经实现了 POC 并使用 slf4j 进行日志记录。 log4j 中的零日漏洞问题,是否也影响了 slf4j 日志?
【问题讨论】:
标签: java security logging log4j slf4j
【发布时间】:2021-12-14 17:36:04
【问题描述】:
取决于 SLF4J 的底层实现。 log4j 1.x 对于 CVE-2021-44228 是安全的。因此,如果您的 SLF4J 提供程序/绑定是 slf4j-log4j12.jar,那么对于 CVE-2021-44228,您是安全的。
如果您将 log4j-over-slf4j.jar 与 SLF4J API 结合使用,除非底层实现是 log4j 2.x,否则您是安全的。
【讨论】:
-
如何知道底层实现版本?
-
请告诉我如何知道底层实现?
-
您需要使用其他一些日志库,例如 Logback 或 Log4j 来获取您的应用程序日志记录。仅使用 slf4j 不会生成日志。因此,您将在 pom 文件中添加 log4j 或 SLF4j 的任何其他实现。要确保的是不要使用易受攻击的 Log4j 版本。
-
@tryingToLearn 如果您使用的是 maven,请尝试 mvn dependency:tree | grep log4j 或检查 pom.xml
-
@tryingToLearn 没错,Slf4j 原生使用 logback,恭喜您的应用程序是安全的 :)
这取决于。 Slf4j 只是一个 api,可以在它的任何实现后面使用,log4j 只是一个。检查背面使用的是哪一个,如果这是 log4j 并且在版本 2.0.0 和 2.15.0 之间(2.15.0 是有修复的版本,版本 1.x 不受影响)你应该更新它(如果它直接或间接暴露给用户)
【讨论】:
根据Apache,“只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞影响。 此外,Apache Log4j 是唯一受此漏洞影响的 Logging Services 子项目。 Log4net 和 Log4cxx 等其他项目不受此影响。”
所以你应该是安全的,只要你不使用 log4j-core 包。
【讨论】:
[,1.7.26),[1.8.0-alpha0,1.8.0-beta2) 存在漏洞。请点击链接 https://snyk.io/vuln/maven:org.slf4j:slf4j-ext
【讨论】: