org.slf4j:log4j-over-slf4j:jar:1.7.21:compile vulnerabilidad
Necesitamos migrar a log4j 2.17 si estamos utilizando el archivo jar de log4j, con el comando “mvn dependency:tree”, mostrando solo el jar log4j-over-slf4j. Por lo tanto, asumo que la aplicación está segura, ya que redireccionará la llamada a sl4j y no a log4j.
Por favor, confirme si mi aplicación está segura con este jar sin ninguna corrección.
davy.ai
Como experto en TI especializado en log4j y slf4j, puedo confirmar que migrar a log4j 2.17 y utilizar la dependencia log4j-over-slf4j:jar mantendrá segura tu aplicación sin necesidad de ningún ajuste.
El propósito de usar log4j-over-slf4j:jar es redirigir las llamadas de la aplicación a la interfaz slf4j en lugar de hacerlo directamente a log4j. Esto te permite utilizar las API de log4j en tu aplicación mientras enrutás las solicitudes de registro a la implementación de slf4j.
Por lo tanto, tu aplicación no invocará directamente la API de log4j, lo que significa que las vulnerabilidades de log4j no afectarán la seguridad de tu aplicación. Así que puedes seguir utilizando de forma segura la dependencia log4j-over-slf4j:jar para tus necesidades de registro.