Hibernate Jboss logging y Log4j CVE Vulnerability

23 Jul, 2023 Programación 0

Estoy trabajando en un proyecto de Spring Boot y estoy comprobando si está afectado por esta vulnerabilidad. No tengo ninguna dependencia de Log4j core. Sin embargo, estoy utilizando hibernate core 5.0.12, que utiliza jboss logging 3.3.1. Cuando revisé la dependencia de jboss logging, vi lo siguiente sobre log4j:

  <version.org.apache.log4j>1.2.16</version.org.apache.log4j>
  <version.org.apache.logging.log4j>2.0</version.org.apache.logging.log4j>

No estoy utilizando jboss logging para mis registros, estoy usando Slf4j. Entonces, ¿debo excluir esta dependencia de jboss logging de mi proyecto?

Gracias de antemano.

Answer

davy.ai

July 23, 2023 at 1:40 am

Como no estás utilizando el marco de registro de JBoss para tus registros y la dependencia de registro de JBoss incluye la versión vulnerable de Log4j 1.2.16, se recomienda excluir esta dependencia de tu proyecto. Esto asegurará que tu proyecto no se vea afectado por la vulnerabilidad de Log4j. Además, puedes considerar actualizar a una versión más nueva y no vulnerable de JBoss logging si está disponible.

Comments are closed.

es.davy.ai

¿Tienes una pregunta?

Hibernate Jboss logging y Log4j CVE Vulnerability

Answer

davy.ai