当前位置: 首页 > 知识库问答 >
问题:

Gradle依赖关系(org.apache.commons)是否也受到当前log4j漏洞的影响?

商飞尘
2023-03-14

目前Log4j日志框架中存在漏洞。但是在我们的项目中,我们没有直接使用log4j依赖。我们通过org.apache.common.使用log4j......所以问题是它是否会受到影响。

共有2个答案

方砚
2023-03-14

检查类路径是否包含类JndiLookup。正如这篇文章所建议的

替换JndiLookuporg.apache.logging.log4j.core.lookup.类的非易受攻击或空实现,以使类加载器使用替换而不是易受攻击的类版本的方式。请参阅应用程序或堆栈的类加载留档以了解此行为。

伍光济
2023-03-14

当使用Apache Commons日志记录时,您仍然必须为Apache Commons日志记录提供特定的日志记录系统。如果该特定系统碰巧是Log4j(显式或隐式提供,因为它是Apache Commons Logging的主要默认值),则应假设您的项目受到该漏洞的影响,并将log4j依赖项更新为修补版本或使用不同的日志系统。

 类似资料:
  • 据我所知,Logback是由相同的作者编写的。我们的应用程序正在使用Logback。是否有可能Logback也会受到Log4j中漏洞的影响?这对我们的组织至关重要。

  • 据我所知,logback也是由相同的作者编写的。我们的应用程序正在使用logback。是否有可能logback也会受到log4j中漏洞的影响?这对我们的组织至关重要。

  • 问题内容: 我有一个二进制文件,其中ldd显示了意外的依赖项和libicuuc(来自“ icu”)。 由于在该系统上libxml动态依赖于libicuuc,因此ldd最终会找到它是有意义的,但是是否期望libicuuc也出现在A的ldd输出中?是否有一些命令仅检索链接为依赖项依赖关系的库? 问题答案: 显示启动应用程序或加载共享库时需要加载的所有库。 仅显示二进制文件的直接依赖项。 是否有一些命令

  • 我最近在Log4J中读到了关于0天问题的文章。我使用了一些应用程序,这些应用程序是用。NET的日志库,它使用基于Log4j的log4net日志库。 log4net是否存在与log4j的CVE-2021-44228漏洞类似的安全漏洞?

  • log4j中最近存在一个漏洞https://nvd.nist.gov/vuln/detail/CVE-2021-44228其临界值为10 如何检查gradle中是否存在Log4j易受攻击的版本,以便列出所有依赖项,包括可传递依赖项?

  • 正如我们在新闻中看到的,针对流行的库报告了一个新的零日漏洞,该漏洞允许攻击者远程执行代码。在我们的应用程序中,我们仍然使用以下依赖项。 是否仅针对报告该问题?或适用于版本是否也是?是否有测试该漏洞的示例代码?