我正在尝试从我的 Maven 项目中删除所有易受攻击的 log4j 依赖项。
我在 pom 中使用log4j 2.16依赖项,并在其他依赖项中添加了 log4j 和 sl4j 的排除项。
尽管如此,每当我运行 Maven 包目标时,它都会下载log4j 1.2.12 jar。
[INFO] Copying 1 resource
[INFO]
[INFO] --- maven-compiler-plugin:3.1:compile (default-compile) @ Test ---
Downloading: https://repo.maven.apache.org/maven2/log4j/log4j/1.2.12/log4j-1.2.12.pom
Downloaded: https://repo.maven.apache.org/maven2/log4j/log4j/1.2.12/log4j-1.2.12.pom (145 B at 0.1 KB/sec)
Downloading: https://repo.maven.apache.org/maven2/log4j/log4j/1.2.12/log4j-1.2.12.jar
Downloaded: https://repo.maven.apache.org/maven2/log4j/log4j/1.2.12/log4j-1.2.12.jar (350 KB at 101.6 KB/sec)
我什至运行了该mvn dependency:tree命令,它只显示log4j 2.16。
下载log4j 1.2.12 jar的原因可能是什么?
如何找到易受攻击的 Log4j 程序 ( CVE-2021-44228 ),以及当我无法更新到固定 Log4j 版本时如何提供急救?
\n由于python日志记录包基于PEP 282并受到Apache log4j系统的影响,因此该包是否受到最近log4j漏洞的影响?
我对这个特定模块的了解有限,所以我希望这里有人更熟悉一点。