是否Hibernate核心5.3.7。log4j漏洞在Spring引导项目中最终易受攻击?
对于我们的SpringBoot项目,我们正在使用定制的SpringBoot库,它现在已经升级了。
但在升级过程中,我们保留了旧版本的hibernate core 5.3.7。最终支持NamedNativeRequesty功能。并且该版本内部使用了较旧的易受攻击的log4j版本。
然而,作为安全性的一部分,整个log4j版本升级到最新版本,当我们运行mvn dendacy: list时,我们只能看到log4j-2.17.1。
这足以处理log4j漏洞吗?
提前谢谢。
共有1个答案
Hibernate不受影响:
Hibernate项目不受CVE-2021-45046和CVE-2021-44228背后漏洞的影响:Hibernate项目中没有一个在运行时依赖于Log4j core。
资料来源:https://in.relation.to/2021/12/16/log4j-cve/
-
我目前的项目完全与大量Spring Boot容器对接。它们中的大多数都是使用log4j2(对于java8,小于2.7)版本构建的。如何充分证明来自JNDI攻击CVE-2021-45105的应用程序? 我知道最好的解决方案是用log4j版本重建这些容器,但这需要时间和预算。 但是,如果我使用下面的命令,在docker compose级别为每个容器禁用查找功能,它能工作吗? “JVM_EXTRA_OP
-
正如我们在新闻中看到的,针对流行的库报告了一个新的零日漏洞,该漏洞允许攻击者远程执行代码。在我们的应用程序中,我们仍然使用以下依赖项。 是否仅针对报告该问题?或适用于版本是否也是?是否有测试该漏洞的示例代码?
-
据我所知,Logback是由相同的作者编写的。我们的应用程序正在使用Logback。是否有可能Logback也会受到Log4j中漏洞的影响?这对我们的组织至关重要。
-
据我所知,logback也是由相同的作者编写的。我们的应用程序正在使用logback。是否有可能logback也会受到log4j中漏洞的影响?这对我们的组织至关重要。
-
关于已经在CVE-2021-44228发现的Log4j JNDI远程代码执行漏洞-(另见参考文献)-我想知道Log4j-v1.2是否也受到影响,但是我从源代码审查中得到的最接近的是JMS-Appender。 问题是,虽然互联网上的帖子表明Log4j 1.2也存在漏洞,但我找不到相关的源代码。 我是否遗漏了其他人已经确认的东西? Log4j 1.2在socket server类中似乎有一个漏洞,但我
-
如何检测SonarQube LTS 8.2版本中的log4j漏洞。 我尝试了这个社区参考,但是找不到8.2版本的。 https://community.sonarsource.com/t/sonarqube-sonarcloud-and-the-log4j-vulnerability/54721