Log4j2漏洞与Lombok注释@log4j2

Question

我们使用spring引导2.1.5和初学者父级作为pom依赖项。

Spring使用默认的logback进行日志记录，我们没有显式地切换到Log4j2，也没有更改任何配置。下面是我们的项目依赖树。

​

​

我们的项目中有很多lombok @log4j2注释。但是，我们在依赖树中发现，我们没有任何log4j2核心jar依赖项(发现它容易受到log4j最近问题的影响)。

@Log4j2
@Service
@DependsOn("applicationDependencyCheck")

lombok @log4j2不依赖log4j2-core.jar。假设这会出现在maven依赖树中，或者我们缺少了什么，这是正确的吗？

这是lombok的入口-

<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <optional>true</optional>
</dependency>

请分享一些见解。

谢谢

Answer 1

在lombok文档中，您可以在这里找到它，https://projectlombok.org/api/lombok/extern/log4j/Log4j2.html

@Log4j2公共类LogExample {} 将产生： 公共类LogExample {私有静态最终org.apache.logging.log4j.Logger日志=org.apache.logging.log4j.Logger}

这两个类都存在于log4j API jar中。

• https://logging.apache.org/log4j/2.x/log4j-api/apidocs/org/apache/logging/log4j/LogManager.html
• https://logging.apache.org/log4j/2.x/log4j-api/apidocs/org/apache/logging/log4j/Logger.html

此处没有列出已知的漏洞，https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api

如前所述，https://logging.apache.org/log4j/2.x/log4j-api/index.html log4j api只是一个接口。

我认为在这种情况下，您的代码不依赖于log4j核心。您可以重复检查生成的输出(例如maven /target文件夹、war文件等)。

Answer 2

绝对@Mariusz W.的答案是最好的。

尽管如此，我注意到您的打印显示了来自logback-core-1.2.3 [1]的依赖关系，后者具有CVE-2021-42550漏洞[2]。

小心点。