从security saml2 2-core中排除slf4j-api，我们得到一个运行时异常NoClassDefFound: org/slf4j/LoggerFactory。

Question

在log4j零日漏洞之后，我们开始查看是否有更多的工件正在使用slf4J或较低版本的log4j。

通过检查mvn依赖树，我们发现SpringSecurity-Saml2-core正在使用slf4j，我们试图将它从工件中排除出来。但是，我们正在接收以下运行时异常: org.opensaml.DefaultBootstrap.getLogger(DefaultBootstrap.java:246) at org.opensaml.DefaultBootstrap.initializeXMLSecurity(DefaultBootstrap.java:189) at org.opensaml.DefaultBootstrap.initializeXMLSecurity(DefaultBootstrap.java:189) at -java.lang.NoClassDefFoundError: org/slf4j/LoggerFactory

Answer 1

如果您指的是CVE-2021-44228漏洞(又名。Log4Shell)那么Slf4J不是易受攻击的库，所以您不必排除它。只有Log4j-core在2.15.0之前的版本中受此特殊漏洞的影响，请参阅https://nvd.nist.gov/vuln/detail/CVE-2021-44228

正如@eray-tufay所指出的，目前还有其他已知的漏洞(许多漏洞可能还在等待被发现)。他给出的例子是https://cve.report/CVE-2021-4104

注意，此问题仅影响特定配置为使用Log4j的JMSAppender 1.2，这不是默认的

因此，要防范当前和未来的漏洞：

• 在构建管道中包括针对新漏洞(如https://owasp.org/www-project-dependency-check/ )的自动检查
• 不断升级您的依赖项以使用最新版本。