关于 Log4j 安全漏洞

bryanyin · 2021 年12 月 13 日 07:12

大家好，

Jmix 框架，包括 CUBA，没有直接使用 Log4j 的库，也没有通过传递依赖将其引入。如果运行下面的命令：

 ./gradlew dependencies | grep log4j

则可以看到有以下依赖，但这些是接口适配器：

org.apache.logging.log4j:log4j-1.2-api:2.14.1
org.apache.logging.log4j:log4j-to-slf4j:2.14.1

Log4j 的漏洞位于 log4j-core 内。如果您使用了标准 Jmix 插件之外的依赖库，那么有潜在的引入该漏洞库的危险。所以建议通过上面的方法检查一下依赖库，或者直接检查部署好的系统服务。

如果您发现有对 log4j-core 模块的依赖，请马上升级您的项目使用最新版本的 Log4j。在 Jmix 应用程序中，可以在 build.gradle 中指定特定版本的依赖，比如：

dependencies {
    implementation(platform("org.apache.logging.log4j:log4j-bom:2.15.0"))
    // ...

Konstantin