es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

Vulnerabilidad de Log4j2 y anotación de Lombok @log4j2.

01 Aug, 2023 Programación

Estamos utilizando Spring Boot 2.1.5 y starter parent como dependencia del archivo pom.

Spring Boot utiliza logback por defecto para el registro de registros y no hemos cambiado explícitamente a Log4j2 ni realizado ninguna configuración. A continuación se muestra el árbol de dependencias de nuestro proyecto.

Tenemos muchas anotaciones @log4j2 de lombok en nuestro proyecto. Pero, encontramos que en el árbol de dependencias no tenemos ninguna dependencia del archivo JAR log4j2-core (que se ha descubierto que es vulnerable a problemas recientes con log4j).

¿La anotación @log4j2 de lombok no depende de log4j2-core.jar? ¿Es correcto suponer que esto aparecería en el árbol de dependencias de Maven o estamos olvidando algo?

Esta es nuestra entrada de lombok:

<dependency>
    <groupid>org.projectlombok</groupid>
    <artifactid>lombok</artifactid>
    <optional>true</optional>
</dependency>

Por favor, comparta algunos conocimientos.

Gracias.

Tags:  , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Según el árbol de dependencias de Maven proporcionado, no muestra ninguna dependencia directa en el archivo log4j2-core.jar. Sin embargo, es posible que el archivo log4j2-core.jar se esté incluyendo de forma transitiva a través de alguna otra dependencia. Es importante tener en cuenta que la vulnerabilidad en el archivo log4j2-core.jar está relacionada con la búsqueda de JNDI y solo puede ser aprovechada si la aplicación está utilizando JNDI.

    Con respecto a la anotación @Log4j2 de Lombok, no depende directamente del archivo log4j2-core.jar. La anotación @Log4j2 se utiliza para generar un campo de registro en la clase subyacente utilizando el marco de registro log4j2. El código generado utilizará la clase de la API de log4j2, que no se ve afectada por la reciente vulnerabilidad del archivo log4j2-core.jar.

    Vale la pena mencionar que desde Spring Boot 2.2.0, ha comenzado a utilizar Log4j2 de forma predeterminada en lugar de logback. En caso de cualquier explotación o vulnerabilidad, es recomendable verificar las últimas actualizaciones y parches de los proveedores respectivos.

    En general, se recomienda revisar regularmente el árbol de dependencias de la aplicación y cualquier vulnerabilidad potencial y actualizaciones que puedan afectar la seguridad en tiempo de ejecución de la aplicación.

Comments are closed.