CVE-2021-44228 + slf4j +公共日志记录

Question

我在我的项目中使用slf4j，包括以下内容：

implementation "org.slf4j:slf4j-api:${versions.slf4japi}"  (1.7.32)
implementation "org.slf4j:slf4j-simple:${versions.slf4jsimple}"  (1.7.32)

我真的很困惑，因为我的项目中没有log4j-1.2.17.jar，但是在公共日志记录中，我有这样的依赖：

<dependency>
  <groupId>log4j</groupId>
  <artifactId>log4j</artifactId>
  <version>1.2.17</version>
  <optional>true</optional>
</dependency>

我知道他们做了一个语句，我几乎可以肯定我的项目是关心的，我不知道我怎么能修复它！如有任何帮助，将不胜感激。

Answer 1

首先，正如您所链接的SLF4J帖子中所提到的，Log4j 1不受CVE-2021-44228的影响(而是生命的终结和其他漏洞的影响)。此外，它被标记为可选依赖项，因此在默认情况下，在依赖公共日志记录时不包括它，请参见POM参考和依赖机制简介，其中也提到了这一点：

将可选依赖项视为“默认情况下排除的”可能会有所帮助。