对于我们的春季启动项目,我们正在使用定制的春季启动库,它现在已经升级。
但在升级过程中,我们保留了旧版本的hibernate内核5.3.7.Final,以支持namedNativeQuery功能。这个版本在内部使用了log4j的旧版本。
然而,作为安全性的一部分,整个log4j版本升级到了最新版本,当我们运行mvn-dendency:list时,我们只能看到log4j-2.17.1。
这足以处理log4j漏洞吗?
提前谢谢。
休眠不受影响:
Hibernate项目不受背后漏洞的影响CVE-2021-45046和CVE-2021-4 4228:没有一个Hibernate项目对Log4j核心的运行时依赖。
来源:https://in.relation.to/2021/12/16/log4j-cve/
经过Anyanalysis和堆栈溢出帮助,我们知道Hibernate core 5.3.7.Final在春季启动项目中不存在log4j漏洞