摆脱对易受攻击的Log4J版本的Spring-boot-starter-data-mongob依赖
考虑到log4j2。x正遭受一个主要的远程代码执行漏洞(检查漏洞),我开始查看我的项目依赖性,看看我是否通过slf4j使用Log4J,幸运的是我没有。
但是我通过springbootstarterdatamongodb发现了对Log4J的另一种依赖。包装的最后版本是在11月2021号生产的,所以这个问题在那里没有得到缓解。
我怎样才能摆脱依赖而不摆脱spring boot starter data mongodb,因为我非常依赖它。
➜ mvn dependency:tree | grep -B 5 log4j
[INFO] +- org.springframework.boot:spring-boot-starter-data-mongodb:jar:2.2.5.RELEASE:compile
[INFO] | +- org.springframework.boot:spring-boot-starter:jar:2.2.5.RELEASE:compile
[INFO] | | +- org.springframework.boot:spring-boot-starter-logging:jar:2.2.5.RELEASE:compile
[INFO] | | | +- ch.qos.logback:logback-classic:jar:1.2.3:compile
[INFO] | | | | \- ch.qos.logback:logback-core:jar:1.2.3:compile
[INFO] | | | +- org.apache.logging.log4j:log4j-to-slf4j:jar:2.12.1:compile
[INFO] | | | | \- org.apache.logging.log4j:log4j-api:jar:2.12.1:compile
共有1个答案
根据Spring博客,您不需要:
log4j-to-slf4j和log4j-api我们包含在sping-boo-starter-log中的jars不能被单独利用。只有使用log4j-core并在日志消息中包含用户输入的应用程序才易受攻击。
-
上下文:我们使用2.6.3版本的com.microsoft.azure:应用见解-日志-log4j1_2来检测我们的Scala代码。不幸的是,这依赖于1.2.17版本的log4j: log4j。1.2.17版本的log4j: log4j有一个严重的安全漏洞(参考:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571)问题是:“L
-
Github已经将我的应用锁文件中的依赖项标记为易受攻击。 要修复它,我应该将该包更新到一个较新的版本。 抱歉,如果这是一个非常基本的问题,但我似乎没有找到任何有用的关于这一点。
-
我正在开发一个JavaSpringWeb服务应用程序。该应用程序有一个maven多模块布局,包含一个webapp模块和一个带有改进客户端的客户端模块。 我想使用spring boot starter来管理我的依赖项,因此我的webapp有以下条目: 我的客户需要一些Spring类型,而这种依赖性会导致: 有没有办法把这些版本结合起来?
-
我是spring boot的新手,我正在通过ControllerAdvisor向控制器添加自定义异常。在MyController.class中,我正在执行三个操作 null 下面的类是特定于未找到的异常的。 在application.properties中,我添加了以下三个条件 当我使用GET API http://localhost:8080/ticke访问我的服务器时,它应该抛出bad req
-
我当前的spring boot项目有spring boot starter父级依赖关系pom文件,版本为1.5.release。有没有可能升级到2.0版本。如果是的话,我们如何做到这一点呢?
-
我正在spring boot项目中使用QPID JMS客户端(版本0.59.0)。我想覆盖netty版本,因为QPID的这个版本附带netty版本:4.1.63。最终[1]。我想将netty版本改写为最新版本:4.1.68。最终的我还在我的POM中使用spring boot starter父版本(版本:2.3.12.RELEASE)作为父POM,它还附带一个netty版本(4.1.65.Final