我在我的项目中使用slf 4j,其中包含以下内容:
implementation "org.slf4j:slf4j-api:${versions.slf4japi}" (1.7.32)
implementation "org.slf4j:slf4j-simple:${versions.slf4jsimple}" (1.7.32)我真的很困惑,因为我的项目中没有log4j-1.2.17.jar,但在公共日志记录中,我有这个依赖项:
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
<optional>true</optional>
</dependency>我知道他们做了一个statement,我几乎可以肯定,我的项目是有关的,我不知道我如何可以修复它!任何帮助将不胜感激
1条答案
按热度按时间6qftjkof1#
首先,正如您链接的SLF 4J帖子中提到的,Log4j 1不受CVE-2021-44228的影响(但已停止使用,并受其他漏洞的影响)。此外,它被标记为 optional 依赖项,因此当您依赖于公共日志记录时,默认情况下不包括它,请参阅POM参考和依赖机制介绍,其中也提到了这一点:
将可选依赖项视为“默认排除”可能会有所帮助。