我们使用带有Log4j的TestNG框架来准备端到端测试。我们应该采取一些行动吗?
仅仅因为该漏洞只存在于您的测试依赖项中,并不意味着您可以忽略它。
然而,您应该完全控制您的输入,这也应该涵盖所有可能的日志消息。因此,您可以假设外部没有人能够轻易利用此漏洞。因此,如果您不打算将注入字符串添加到测试数据中,您应该可以。
我建议您无论如何都要更新,因为您永远不知道它是否可以以某种方式用于漏洞利用链(将来的另一个漏洞利用可能会重写您的输入,并最终记录在日志中(。但它的优先级低于修复任何公共可用服务器。
log2j的2.15.0版本包含该修复程序。